Nouvelle année rime souvent avec bonnes résolutions. C’est un moment propice pour se fixer des objectifs et changer ses habitudes. A cette occasion, voici les suggestions de Vaadata pour de bonnes résolutions en matière de sécurité web.

Bonne année 2015 - illustration

1. C’est décidé, je m’intéresse à la sécurité

Première étape, s’intéresser au sujet ! Vous avez forcément entendu parler du piratage de Sony Pictures, ainsi que d’autres affaires de hacking qui ont régulièrement marqué l’actualité en 2014.

Et bien, cela ne concerne pas que les multinationales. Les piratages de sites web de toutes tailles sont courants même s’ils ne font pas forcément la une des journaux. Par exemple, un site web ne contenant pas de données précieuses à revendre peut tout de même intéresser un hacker qui souhaite en prendre le contrôle pour héberger un site fantôme, permettant de mener d’autres attaques sans se faire repérer. Et bien sûr, cela se révèle très nuisible pour les propriétaires du site lorsqu’ils découvrent que les internautes fuient vers d’autres solutions mieux sécurisées et que toute la réputation du service est à reconstruire.

Vous l’aurez compris : il est temps de vous intéresser aux enjeux de la sécurité web.

2. Je sensibilise mon équipe de développement

Une fois que vous avez compris l’importance du sujet, reste à sensibiliser votre équipe. Un bon développeur ne livrera pas forcément du code sécurisé, s’il n’a pas été formé sur le sujet.

Bien des développeurs ont l’habitude qu’on les presse avec d’autres priorités : rapidité des développements, problématiques de performance, importance de la partie front-end…

Par ailleurs, ceux qui construisent le code et ceux qui cherchent à le détourner n’appréhendent pas une application de la même manière. Un développeur doit comprendre la logique du hacking ainsi que les principaux types d’attaques s’il souhaite pouvoir les anticiper.

Pourquoi ne pas former votre équipe aux enjeux de la sécurité web cette année ?

Formation illustration

3. J’investis dans des outils faciles d’accès

Pour sécuriser rapidement une application existante, il existe différents types d’outils. Vous pouvez opter pour des audits de sécurité ou pour des solutions de type pare-feu applicatif (WAF).

Un audit vous permettra de connaître les failles de votre application ainsi que d’obtenir une liste de recommandations permettant de les corriger. Il existe plusieurs types d’audit : les tests manuels et les scans automatisés. Tandis qu’un scan automatisé repérera certaines failles techniques, seul un test manuel (ou semi-manuel) permettra d’anticiper toutes les attaques d’un hacker, en tenant compte des failles logiques qui font partie des vulnérabilités très répandues sur internet.

Quant au WAF, il vous permettra de protéger votre site via un système de bouclier. Moins complet qu’une correction des failles, il s’agit néanmoins d’une solution très complémentaire à l’audit de sécurité.

4. Je corrige le code de mon application

Si vous effectuez un audit, vous pourrez ensuite corriger correctement votre application.

Parfois, la correction commence avec des choses très simples : installer les mises à jours de versions PHP, ainsi que les mises à jour de Linux… Il en va de même pour les mises à jours des librairies de code.

Vous pouvez effectuer ces vérifications dès maintenant !

Code source Java illustration

5. Je communique avec mes clients sur l’importance de la sécurité

En fin de compte, qui profitera d’une meilleure sécurisation de vos solutions ? Vos clients bien sûr, et donc votre chiffre d’affaires.

A force d’entendre parler de cyber-attaques, vos clients se posent régulièrement des questions. Il ne tient qu’à vous de les rassurer, voire même de les sensibiliser. Cela vous conférera une plus grande expertise et renforcera la crédibilité de vos produits. Et si vos concurrents ne l’ont pas encore fait, voici une occasion de vous démarquer pour commencer l’année sur les chapeaux de roue !