La plupart des applications d’entreprise manipulent des données sensibles. Sécuriser ces applications devient donc essentiel pour éviter la divulgation de données et minimiser les risques associés (pertes financières, dégradation de l’image de l’entreprise, entre autres).
Et il y a beaucoup à faire pour sécuriser ces applications : authentification, cycle de vie des utilisateurs, politique de mots de passe… Quelles sont les meilleures pratiques pour renforcer la sécurité des applications ? Comment gagner en visibilité sur ses applications grâce à une cartographie de son système d’information ? On fait le point avec François Devienne, Responsable de la Sécurité Opérationnelle (RSO) chez OverSOC.
1. Renforcer l’authentification
Protéger le couple login/mot de passe
« L’authentification est la porte d’entrée à tous les services d’une entreprise, qu’ils soient internes ou externes : outils de bureautique, logiciels métiers, données de développement, etc. Il est donc essentiel de toujours vérifier que l’authentification soit bien implémentée pour protéger au maximum les données de l’entreprise », explique François Devienne.
Même un mot de passe très complexe, généré par un générateur de mots de passe et stocké dans un conteneur sécurisé ne protège pas à 100 %. Malgré cela, le couple login/mot de passe peut être volé, publié ou revendu pour mener des tentatives de phishing.
Privilégier les applications de double authentification
Comment alors protéger le couple login/mot de passe ? En ajoutant une couche de sécurité supplémentaire avec la double authentification, en privilégiant si possible les applications de double authentification OTP (sans stocker les tokens dans un drive) et non l’envoi de SMS (à cause des possibles réplications de carte SIM).
2. Gérer le cycle de vie des utilisateurs
Mettre en place une gestion des identités et des accès
L’onboarding et l’offboarding des collaborateurs ne sont pas réservés à la fonction RH. Du point de vue des équipes IT, l’arrivée et le départ de collaborateurs constituent également des moments clés, puisqu’ils touchent à la gestion des identités et à la gestion des accès. Le moment du départ est d’ailleurs particulièrement sensible, puisqu’il nécessite de révoquer les accès des salariés qui quittent l’entreprise. L’objectif ? Disposer d’un état le plus exhaustif possible des accès liés aux personnes.
Opter pour l’authentification unique (SSO)
« L’authentification via SSO (Single Sign-On) permet de centraliser les accès aux différentes solutions. Les équipes IT disposent ainsi d’une gestion centralisée des identités et des accès. Au moment du départ d’un collaborateur, il suffit de désactiver son compte pour révoquer l’ensemble de ses accès », explique le RSO.
3. Gérer la politique de mots de passe dans l’Active Directory
Implémenter une politique de mots de passe dans l’AD
« Gérer sa politique de mots de passe dans l’AD fait également partie des bonnes pratiques pour renforcer la sécurité applicative », affirme François Devienne. Concrètement, il s’agit de définir le nombre de caractères, la périodicité du renouvellement des mots de passe ou encore le délai pendant lequel les utilisateurs peuvent s’authentifier sans avoir besoin d’utiliser la MFA.
Adapter les règles de sécurité en fonction des groupes d’utilisateurs
Comment aller encore plus loin sur la gestion des mots de passe ?
« En scindant les populations (utilisateurs / administrateurs) et en définissant des règles de sécurité différentes pour chaque groupe. On peut par exemple renforcer les règles de sécurité pour les comptes administrateurs, ou encore décider que la MFA n’est pas requise lorsque les utilisateurs se connectent au bureau, mais qu’elle est obligatoire lorsqu’ils se connectent à distance. »
4. Maintenir son parc et ses applications à jour
Systématiser les mises à jour
Mettre à jour régulièrement ses applications et systèmes d’exploitation constitue l’un des réflexes à avoir. « Plus on a un parc à jour, moins il est vulnérable. Diminuer les portes d’entrée dans le SI est une pratique incontournable en matière de sécurité applicative », note notre RSO. Là encore, différents outils (EDR, CMDB, scan de vulnérabilités) permettent de faire remonter les versions des systèmes d’exploitation afin de mettre à jour les serveurs et les machines si nécessaire.
Sanctuariser les assets les plus critiques
Et que faire dans le cas d’un asset qui ne peut plus être mis à jour, par exemple si l’éditeur ne le permet plus ? « Dans ce genre de cas, on peut redécouper les zones réseaux (VLAN) de manière à isoler et sanctuariser ce qui ne peut pas être mis à jour. On contrôle encore davantage qui peut y accéder et de quelle manière », explique François Devienne. L’objectif est toujours le même : minimiser la plage d’exposition aux risques.
5. Utiliser des connexions sécurisées
Privilégier le protocole TLS 1.2
La DSI a la maîtrise des applications hébergées en interne et peut donc en sécuriser les connexions.
« La connexion aux applications (que l’on soit dans un SI interne ou sur Internet) doit toujours être sécurisée, avec les protocoles de type https et avec du TLS 1.2 a minima. »
Le cas particulier des « vieux » applicatifs
À coté de cela, il existe d’autres cas de figure. Certains applicatifs anciens utilisent toujours des connexions en http, avec les données qui transitent en clair. Comment faire dans ce cas pour sécuriser l’accès aux applications ? « Ajouter des mesures et des coquilles de sécurité tout autour de ces applications », ajoute François Devienne.
Quel est le lien entre la sécurité applicative et la cartographie de système d’information ?
La question de la sécurité des applications rejoint celle de la sécurité au sens large. Sécuriser un système d’information nécessite de disposer d’une vue exhaustive, détaillée, à jour et en temps réel des différents éléments qui composent le SI.
Et c’est justement là que la cartographie intervient. En corrélant et en agrégeant des données issues de diverses sources (EDR, CMDB, scan de vulnérabilités, hyperviseur, etc.), la cartographie réduit les zones d’ombre liées au Shadow IT et livre aux équipes un état des lieux complet de leur SI.
Cartographier son système d'information permet ensuite de catégoriser les assets les plus critiques, d’ajouter des données de contexte, de faire ressortir les données de vulnérabilités applicatives et d’orienter les mesures correctives en les priorisant. Elle aide ainsi les équipes à maintenir un niveau de sécurité optimal pour leurs applications, aussi bien sous l’angle purement technique (vérifier les accès, corriger les vulnérabilités applicatives, etc.) que du point de vue de la gouvernance.
Vous souhaitez gagner en visibilité sur vos applications pour renforcer leur sécurité ? Contactez-nous.