Un audit de sécurité est une étape indispensable dans la sécurisation d’une plateforme web. Cependant, il s’agit d’une action ponctuelle, qui à elle seule n’apporte pas de garanties sur le long terme. Différents types d’accompagnement sont envisageables en complément pour renforcer la sécurité sur le long terme.

long terme illustration

Les avantages de l’audit de sécurité

L’audit de sécurité sous forme de tests d’intrusion est indispensable et indiscutable. Cela permet de tester la sécurité dans les conditions d’une attaque grandeur nature.
L’audit de sécurité est donc un état des lieux de la sécurité d’une plateforme à un instant T. Il permet d’identifier les vulnérabilités et de les corriger.

Les risques à moyen/long terme

Suite à un audit, il faut tout de même avoir à l’esprit un certain nombre de risques :

– Evolutions de la plateforme : Les nouvelles mises en production régulières permettent de rajouter des fonctionnalités … et aussi des vulnérabilités. Tout ajout de code inclut potentiellement des risques. Le point positif, c’est que les développeurs ayant eu connaissance des résultats d’un audit et ayant travaillé sur la correction des failles auront tendance à ne pas répéter exactement les mêmes erreurs. Mais l’erreur est humaine, de même que les oublis.

– Evolution des risques : Le paysage des menaces en sécurité web évolue en permanence. Certains composants deviennent obsolètes, de nouvelles techniques d’attaques sont mises au jour, ainsi que de nouvelles manières d’exploiter une vulnérabilité …

– Autres facteurs à prendre en compte : Lorsqu’une plateforme est robuste techniquement, le meilleur moyen pour un attaquant de maximiser son effort est d’exploiter également les vulnérabilités dites humaines. Cela signifie que la faiblesse des process de sécurité ainsi que le déficit de formation de l’ensemble du personnel d’une entreprise sur les risques de cybersécurité deviennent alors les principales portes d’entrée.

Quelles solutions pour une sécurité durable ?

Il est nécessaire d’envisager l’audit comme une étape (et même une étape clé!) d’une stratégie globale de sécurité.
Et il est très conseillé de mettre en place une action à long terme, qui peut articuler différentes solutions :

– Tests d’intrusion récurrents : Il est possible de conduire régulièrement de nouveaux tests d’intrusion sur une plateforme web ou un portfolio applicatif. Cela permet de mettre régulièrement à l’épreuve les services exposés, avec la possibilité de faire un focus sur les nouvelles mises en production. C’est également avantageux pour lisser des tests au fil de l’année.

– Formation des équipes : La montée en compétences des équipes techniques permet de réduire les risques, par exemple en sensibilisant les développeurs aux failles répertoriées par l’OWASP. De plus, il peut s’avérer intéressant de former les équipes fonctionnelles afin que celles-ci intègrent des connaissances de base sur les risques et sur les exigences de sécurité. Enfin, atténuer les risques liés aux vulnérabilités humaines implique de sensibiliser aux risques d’ingénierie sociale l’ensemble des collaborateurs d’une entreprise, des réceptionnistes aux dirigeants.

– Préparation aux incidents : Les entreprises confrontées à des attaques régulières et/ou ayant des enjeux de sécurité critiques ont tout intérêt à se préparer à l’éventualité d’un incident, en complément des actions préventives. L’impact d’un incident peut être fortement diminué ou augmenté, selon la capacité des équipes concernées à détecter l’anomalie et à réagir de façon coordonnée. Mieux vaut anticiper afin d’être efficace le jour J.

Sans remettre en cause l’efficacité réelle des tests d’intrusion, il vaut mieux garder en tête l’idée de ne pas se reposer sur une seule solution miracle et ponctuelle. La sécurité est un processus, à construire sur mesure en fonction du point de départ d’une entreprise, de son niveau de risques et de son budget. La diversité des solutions existantes permet de répondre aux enjeux d’entreprises ayant des profils très différents.