Qu’est ce que la sécurité applicative?
Tout d’abord, définissons ce qu’est une application. C’est un programme qui dépend d’un système d'exploitation comme un site web, un client lourd, une application mobile, ou même une application embarquée. La sécurité applicative est simplement la sécurité liée au développement de ces programmes, à la différence de la sécurité réseau, système, ou organisationnelle.
En quoi est-ce un enjeu aujourd’hui dans le domaine de la cybersécurité?
La sécurité applicative dispose d’une granularité plutôt fine : là où certaines vulnérabilités plus grossières se détectent assez facilement (e.g. présence d’un composant obsolète, absence de cloisonnement réseau), celles présentes dans les applications nécessitent souvent une compréhension accrue du périmètre audité afin d’être exploitées (et prévenues).
Les outils à disposition pour déceler certaines vulnérabilités sont peu accessibles et pas toujours adaptés. Par exemple si l’on souhaite tester un site bancaire, le programme ne pourra pas détecter une vulnérabilité dans un virement avec des sommes négatives car il ne sait pas ce qu’est un virement ou une banque. Le programme ne sera donc pas en mesure d’assurer une bonne sécurité applicative.
Un sondage Gartner d’il y a quelques années montrait que plus de 80% des compromissions passent par l’application. Aujourd’hui, il ne serait pas étonnant que ce nombre soit encore plus élevé. Nous sommes dans l’ère du tout application notamment avec les objets connectés.
Quelles sont les entreprises concernées ?
En réalité, toutes les entreprises sont concernées par la sécurité applicative. Nous allons quand même distinguer deux grands types d’entreprises particulièrement concernées.
Premièrement, les entreprises qui produisent des applications, donc de développement. Ces entreprises sont confrontées à trois problématiques.
1/ Elles sont responsables: si une entreprise vend un logiciel vulnérable, cela ressort de la responsabilité de l’entreprise.
2/ Elles ont une image de marque à maintenir: si une entreprise vend un logiciel à un client et que ce dernier se fait pirater à cause de ce logiciel, c’est l’image de marque de l’entreprise qui en prend un coup
3/ Elles doivent parfois respecter certaines homologations: par exemple pour les données de santé (HDS), les jeux d’argent en ligne (ARJEL), ou les applications destinées à des secteurs sensibles (OIV).
La sécurité applicative existe donc pour vérifier que le programme n’est pas sujet à des vulnérabilités.
La deuxième grande catégorie d’entreprises concernées par la sécurité applicative est celle qui utilise des applications. Les entreprises qui utilisent une application pour gérer leur comptabilité par exemple seront impactées s’il existe une vulnérabilité dans le logiciel de comptabilité.
Enfin, en tant que particulier, nous sommes également concernés par la sécurité applicative. Beaucoup de nos secrets au sens large, de nos informations personnelles, sont confiés à des applications.
Quels types de profils travaillent sur ce sujet?
On distingue deux grands types de profils dans la sécurité en général: les techniques et les organisationnels.
Les techniques sont les personnes qui agissent concrètement contre les vulnérabilités. Elles réalisent des tests d’intrusion, des audits. Cette catégorie regroupe de nombreux métiers technique. En effet, beaucoup de postes touchent de près ou de loin à la sécurité applicative, sans être spécialisés dans ce secteur pour autant. Par exemple, quelqu’un qui fait l’analyse (la première phase du cycle de développement) doit recueillir le besoin d’un client et peut parfois toucher à la sécurité applicative de par les questions qu’il pose au client, via notamment les identifications des ASR (Additional Security Requirements).
Les organisationnels, eux, n’ont pas forcément les compétences techniques mais plus de la compétence organisationnelle. Ils analysent et déterminent les meilleures actions au sein de l’entreprise de façon à ce que la sécurité soit implémentée. Ils sont donc en charge de valider que l’entreprise mette en place les mesures de sécurité associées aux besoins de sécurité identifiés lors des analyses de risque (e.g. ISO27001). Leur périmètre d’action concerne les process dans le sens large du terme.
Comment on fait pour s’y préparer / se former ?
Pour entrer dans le monde de la sécurité applicative, le plus simple est de commencer par du développement d’application. Cela permet d’acquérir de bonnes bases. Si l’on connaît un langage en profondeur, on pourra en saisir les subtilités et les apprécier dans d’autres langages et technologies.
Par la suite, l’idéal est de se plonger dans une logique de tests d’intrusion. La pratique répétée de cet exercice permet de faire le lien entre les lignes de code et des possibles vulnérabilités. Les tests d’intrusion permettent de s’habituer à exploiter des vulnérabilités de façon générique, tandis que les compétences en développement permettent de les détecter de façon plus spécifique.
Enfin, il faut monter en compétences en développement et dans la partie sécurité en apprenant de plus en plus de vulnérabilités qui affectent des applications. Il existe aujourd’hui très peu de formation car dans les faits, c’est sur le tas que c’est apprentissage se fait.
Globalement, les formations existantes ne sont pas vraiment ciblées sur la pratique, mais plutôt sur le côté organisationnel. Elles ne sont pas professionnalisantes et c’est une fois arrivé en entreprise que l’on apprend réellement. C’est pourquoi la Wild Code School s'appuie sur une pédagogie hybride qui laisse aux élèves une certaine autonomie et qui se fonde sur l’apprentissage par la pratique.
Les certifications sont plutôt adressées à un public professionnel. Un organisme de délivrance serait Offensive Security. Certains masters spécialisés en sécurité ou techniques en développement web et logiciels alliés à une passion pour la cybersécurité permettent de rejoindre la cybersécurité. En résumant, il n’y a pas de certification ou de titre miracle pour apprendre et évoluer dans la cybersécurité, il faut combiner pratique, passion et technique.
Cet article vous a intéressé?
Apprenez davantage et découvrez le métier d’analyste cybersécurité :
