Article
Environ 5 minutes
Sep 07, 2023 Publié le 07/09/2023

5 pratiques essentielles pour renforcer la sécurité de vos applications

La plupart des applications d’entreprise manipulent des données sensibles. Sécuriser ces applications devient donc essentiel pour éviter la divulgation de données et minimiser les risques associés (pertes financières, dégradation de l’image de l’entreprise, entre autres).

Et il y a beaucoup à faire pour sécuriser ces applications : authentification, cycle de vie des utilisateurs, politique de mots de passe… Quelles sont les meilleures pratiques pour renforcer la sécurité des applications ? Comment gagner en visibilité sur ses applications grâce à une cartographie de son système d’information ? On fait le point avec François Devienne, Responsable de la Sécurité Opérationnelle (RSO) chez OverSOC.

1. Strengthen authentication

Protect the login/password pair

« L’authentification est la porte d’entrée à tous les services d’une entreprise, qu’ils soient internes ou externes : outils de bureautique, logiciels métiers, données de développement, etc. Il est donc essentiel de toujours vérifier que l’authentification soit bien implémentée pour protéger au maximum les données de l’entreprise », explique François Devienne.

Même un mot de passe très complexe, généré par un générateur de mots de passe et stocké dans un conteneur sécurisé ne protège pas à 100 %. Malgré cela, le couple login/mot de passe peut être volé, publié ou revendu pour mener des tentatives de phishing.

Favoring dual authentication applications

Comment alors protéger le couple login/mot de passe ? En ajoutant une couche de sécurité supplémentaire avec la double authentification, en privilégiant si possible les applications de double authentification OTP (sans stocker les tokens dans un drive) et non l’envoi de SMS (à cause des possibles réplications de carte SIM).

2. Manage user lifecycle

Implement identity and access management

L’onboarding et l’offboarding des collaborateurs ne sont pas réservés à la fonction RH. Du point de vue des équipes IT, l’arrivée et le départ de collaborateurs constituent également des moments clés, puisqu’ils touchent à la gestion des identités et à la gestion des accès. Le moment du départ est d’ailleurs particulièrement sensible, puisqu’il nécessite de révoquer les accès des salariés qui quittent l’entreprise. L’objectif ? Disposer d’un état le plus exhaustif possible des accès liés aux personnes.

Opt for single sign-on (SSO)

« L’authentification via SSO (Single Sign-On) permet de centraliser les accès aux différentes solutions. Les équipes IT disposent ainsi d’une gestion centralisée des identités et des accès. Au moment du départ d’un collaborateur, il suffit de désactiver son compte pour révoquer l’ensemble de ses accès », explique le RSO.

3. Managing password policy in Active Directory

Implement a password policy in AD

« Gérer sa politique de mots de passe dans l’AD fait également partie des bonnes pratiques pour renforcer la sécurité applicative », affirme François Devienne. Concrètement, il s’agit de définir le nombre de caractères, la périodicité du renouvellement des mots de passe ou encore le délai pendant lequel les utilisateurs peuvent s’authentifier sans avoir besoin d’utiliser la MFA.

Adapt security rules to user groups

Comment aller encore plus loin sur la gestion des mots de passe ?

« En scindant les populations (utilisateurs / administrateurs) et en définissant des règles de sécurité différentes pour chaque groupe. On peut par exemple renforcer les règles de sécurité pour les comptes administrateurs, ou encore décider que la MFA n’est pas requise lorsque les utilisateurs se connectent au bureau, mais qu’elle est obligatoire lorsqu’ils se connectent à distance. »

4. Keeping your fleet and applications up to date

Systematize updates

Mettre à jour régulièrement ses applications et systèmes d’exploitation constitue l’un des réflexes à avoir. « Plus on a un parc à jour, moins il est vulnérable. Diminuer les portes d’entrée dans le SI est une pratique incontournable en matière de sécurité applicative », note notre RSO. Là encore, différents outils (EDR, CMDB, scan de vulnérabilités) permettent de faire remonter les versions des systèmes d’exploitation afin de mettre à jour les serveurs et les machines si nécessaire.

Safeguarding the most critical assets

Et que faire dans le cas d’un asset qui ne peut plus être mis à jour, par exemple si l’éditeur ne le permet plus ? « Dans ce genre de cas, on peut redécouper les zones réseaux (VLAN) de manière à isoler et sanctuariser ce qui ne peut pas être mis à jour. On contrôle encore davantage qui peut y accéder et de quelle manière », explique François Devienne. L’objectif est toujours le même : minimiser la plage d’exposition aux risques.

5. Use secure connections

Prefer TLS 1.2 protocol

La DSI a la maîtrise des applications hébergées en interne et peut donc en sécuriser les connexions.

« La connexion aux applications (que l’on soit dans un SI interne ou sur Internet) doit toujours être sécurisée, avec les protocoles de type https et avec du TLS 1.2 a minima. »

The special case of "old" applications

À coté de cela, il existe d’autres cas de figure. Certains applicatifs anciens utilisent toujours des connexions en http, avec les données qui transitent en clair. Comment faire dans ce cas pour sécuriser l’accès aux applications ? « Ajouter des mesures et des coquilles de sécurité tout autour de ces applications », ajoute François Devienne.

What is the link between application security and information system mapping?

La question de la sécurité des applications rejoint celle de la sécurité au sens large. Sécuriser un système d’information nécessite de disposer d’une vue exhaustive, détaillée, à jour et en temps réel des différents éléments qui composent le SI.

Et c’est justement là que la cartographie intervient. En corrélant et en agrégeant des données issues de diverses sources (EDR, CMDB, scan de vulnérabilités, hyperviseur, etc.), la cartographie réduit les zones d’ombre liées au Shadow IT et livre aux équipes un état des lieux complet de leur SI.

Cartographier son système d'information permet ensuite de catégoriser les assets les plus critiques, d’ajouter des données de contexte, de faire ressortir les données de vulnérabilités applicatives et d’orienter les mesures correctives en les priorisant. Elle aide ainsi les équipes à maintenir un niveau de sécurité optimal pour leurs applications, aussi bien sous l’angle purement technique (vérifier les accès, corriger les vulnérabilités applicatives, etc.) que du point de vue de la gouvernance.

Vous souhaitez gagner en visibilité sur vos applications pour renforcer leur sécurité ? Contactez-nous.

Our latest articles