La plupart des entreprises n'investissent pas suffisamment dans la sécurité des applications
Jusqu'à ce que survienne une attaque informatique

Le , par Stan Adkens, Chroniqueur Actualités

L’intégrité des données des entreprises est davantage menacée aujourd’hui qu’avant à cause de la multiplicité des applications multiplateformes et la facilité avec laquelle l’on peut accéder à ces dernières. Cependant, plus de la moitié des entreprises ne mesurent pas encore l’ampleur de l’exposition de leurs données aux éventuelles cyberattaques. Pour en savoir davantage, les résultats de l’étude mondiale 2018 sur la sécurité des applications menée par l'Institut Ponemon, ont été publiés par Arxan Technologies. L'étude a permis d'interroger près de 1400 professionnels de l'IT et de la sécurité informatique aux États-Unis, dans l'Union européenne et en Asie-Pacifique afin de comprendre les risques auxquels les entreprises sont confrontées lorsqu'elles travaillent dans des environnements non sécurisés.

Les résultats de l’étude 2018 sont sans appel. En effet, les risques d’accès des applications non autorisées s’augmentent et la probabilité d’exécution de ces applications, critiques pour le système d’information, est en hausse. La plupart des entreprises en sont conscientes, mais elles attendent très souvent une attaque entraînant la perte de productivité, de confiance des clients et de revenus, avant de penser à une solution de sécurité.

Rusty Carter, vice-président de la gestion des produits chez Arxan, s’inquiète à ce sujet. Il estime le coût moyen d’une attaque de données à 4 millions de dollars.

Selon l’étude, 75 % des entreprises ont, probablement, subi une cyberattaque matérielle ou une violation de données au cours de la dernière année en raison d'une application compromise. Cependant, 65 % des entreprises disent qu'elles seraient incitées à augmenter les mesures de protection des applications seulement après qu'un utilisateur final ou un client ait été affecté négativement et 48 % estiment que la performance et la rapidité des applications sont plus importantes que la sécurité.

C’est seulement 25 % des personnes interrogées qui déclarent que leur organisation fait un investissement significatif dans des solutions pour prévenir les attaques applicatives, 64 % des répondants se disent très préoccupés par la possibilité d’être piratés via les applications et plus de 54 % prévoient une augmentation des menaces en 2018.

Joe Sander, PDG d'Arxan explique : « Il est inquiétant que tant d'entreprises reconnaissent le risque croissant d'attaques par les applications, mais elles font très peu pour empêcher les violations », il continue en disant : « C'est avoir des pensées rétrogrades, et cela expose les données des clients à un risque important. Il est crucial de placer des investissements de sécurité là où des attaques se produisent. »

Toutefois, 79 % des répondants à l'enquête ont convenu que la capacité de détecter les attaques d'applications « dans la nature » est très importante. Et près de la moitié des répondants à l'enquête disent qu'ils mettraient à jour leur solution de protection des applications aussi souvent ou quotidiennement s'ils avaient une visibilité sur des types d'attaques spécifiques contre leurs applications.

« La capacité de savoir comment les attaques d'applications sont exécutées au fur et à mesure qu'elles se déroulent réduit les possibilités pour les attaquants », explique Sander. « Cette intelligence en temps réel permet aux entreprises de réagir par des contre-mesures directes pour repousser les menaces, et peut aider à valider le besoin d'un investissement dans la sécurité des applications avant qu'il ne soit trop tard. »

Anticiper par la surveillance est une meilleure solution contre les attaques via les applications, aujourd’hui, étant donné que la défense d’un périmètre réseau au moyen de pare-feu est révolue. Détecter et réagir en amont est aujourd’hui devenu nécessaire.

Source : arxan

Et vous ?

Selon vous, les entreprises mesurent-elles vraiment, aujourd’hui, l’ampleur de la menace via les applications ?
Si elles en sont conscientes, pourquoi négligent-elles l’investissement dans la sécurité ?
Selon vous, quelle est la meilleure stratégie de protection contre les attaques via les applications ?

Voir aussi

Un spécialiste en sécurité dresse la liste des applications iOS et Android qui sont le plus interdites en entreprise, whatsApp vient en tête sur iOS
L'EFF évalue la sécurité des applications de messagerie. Skype, WhatsApp, Viber ou encore Google Hangsout loin de satisfaire les critères souhaités


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 14/05/2018 à 20:17
Anticiper par la surveillance est une meilleure solution contre les attaques via les applications, aujourd’hui, étant donné que la défense d’un périmètre réseau au moyen de pare-feu est révolue.
Mais quelle blague!!! Si les entreprises faisait plus attention à la segmentation de leurs réseaux il y aurait déjà bien moins d'attaques possibles! Aujourd'hui, en 2018, on a encore des boites qui ont des réseaux complètement à plat! Pas de réseau d'administration, pas de segmentation réseau front end/back end, etc...

Oui la surveillance est devenu presque indispensable pour détecter certaines menace, mais avant il y a déjà bien du boulot qui n'a jamais été fait.

Selon vous, les entreprises mesurent-elles vraiment, aujourd’hui, l’ampleur de la menace via les applications ?
Assez peu. Quand je présente à des clients les résultat de l'audit je peux vous dire que je vois leurs cheveux se dresser sur leurs têtes.

Selon vous, quelle est la meilleure stratégie de protection contre les attaques via les applications ?
Programmation aux normes actuelles, sensibilisation de tous les employés selon leur poste, ne pas presser les devs au détriment de la sécurité, budget pour des audits, budget pour patcher, ...
Avatar de John Bournet John Bournet - Membre confirmé https://www.developpez.com
le 14/05/2018 à 20:46
Pourquoi négligent-elles l’investissement dans la sécurité ?
Parce que :
- On n'a pas (ou plus) le temps
- On n'a pas le budget
- Le piratage, ça n'arrive qu'aux autres
- Les données de Mme Michu, ça n'intéresse personne, et même si elles partent dans la nature, qu'est-ce que ça peut bien faire ? (probablement l'excuse la plus courante, quand les arguments manquent)

la défense d’un périmètre réseau au moyen de pare-feu est révolue
Hélas, tout le monde n'en n'a pas encore pris conscience. Le temps où on achetait (très cher) la suite de sécurité d'un grand éditeur (Firewall, anti-virus, ...), sensé prévenir tous les risques, est malheureusement loin d'être révolu et cela a conduit à une certaine appropriation du domaine de la sécurité informatique par les gens des systèmes et réseaux, laissant les développeurs d'application loin de tout cela ...
Le niveau général des développeurs dans le domaine de la sécurité applicative ne pousse pas à l'optimisme. Etant parti prenante de nombreux entretiens dans le monde du web, je constate que même si le top 10 OWASP dit vaguement quelque chose à une grosse moitié des dev, on s'aperçoit qu'il ne sont pas légion à savoir précisément et concrètement quels en sont les tenants et aboutissants.

Selon vous, quelle est la meilleure stratégie de protection contre les attaques via les applications ?
La première stratégie, c'est, en amont, d'empêcher qu'on en prenne le contrôle.
Ensuite, les notions d'attaques/défenses ont été théorisée pendant des millénaires par des professionnels : les militaires. Dans le cas présent, de nombreuses stratégies sont tout à fait opportunes : réduction de la surface d'attaque, confinement, dissuasion, ...
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 15/05/2018 à 11:18
Citation Envoyé par Stan Adkens Voir le message
Selon vous, les entreprises mesurent-elles vraiment, aujourd’hui, l’ampleur de la menace via les applications ?
Absolument pas.
Tant qu'elles ne sont pas fait avoir et qu'il n'y a pas de conséquences business, les décideurs s'en contrefoutent royalement.

Citation Envoyé par Stan Adkens Voir le message
Si elles en sont conscientes, pourquoi négligent-elles l’investissement dans la sécurité ?
Car les budgets sont serrés et que c'est le business avant tout.
La sécurité ne rapporte pas d'argent et les utilisateurs n'en n'ont pas pas conscience donc ce n'est pas une priorité.
Aujourd'hui, tout se décide en fonction du ROI et le ROI de la sécurité est quasi nul.
Avatar de Layokan Layokan - Membre à l'essai https://www.developpez.com
le 15/05/2018 à 11:51
Même dans des milieux ou les applications sont sensibles, les termes de Sécurité Informatique donnent des boutons à presque tout le monde, et sont réservés aux empêcheurs de tourner en rond.

Sinon, cette news me rappelle ça
http://www.commitstrip.com/fr/2017/0...ve-try-a-hack/
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 15/05/2018 à 12:09
Citation Envoyé par benjani13 Voir le message
Programmation aux normes actuelles, sensibilisation de tous les employés selon leur poste, ne pas presser les devs au détriment de la sécurité, budget pour des audits, budget pour patcher, ...
L'un des gros dangers à venir c'est justement la programmation aux normes actuelles.
Aujourd'hui la norme est la mutliplication de brique dont on ne maitrise absolument rien. Comment s'imaginer que le produit final peut-etre sécurisé? Des failles sont trouvées sur des briques très utilisées (éléctron pas plus tard qu'il y a pas longtemps) alors sur des "petites" briques dont les devs sont de plus en plus friands, c'est assurément un carnage en puissance qui se prépare .
Avatar de koyosama koyosama - Membre éclairé https://www.developpez.com
le 15/05/2018 à 12:26
Citation Envoyé par John Bournet Voir le message
Hélas, tout le monde n'en n'a pas encore pris conscience. Le temps où on achetait (très cher) la suite de sécurité d'un grand éditeur (Firewall, anti-virus, ...), sensé prévenir tous les risques, est malheureusement loin d'être révolu et cela a conduit à une certaine appropriation du domaine de la sécurité informatique par les gens des systèmes et réseaux, laissant les développeurs d'application loin de tout cela ...
Le niveau général des développeurs dans le domaine de la sécurité applicative ne pousse pas à l'optimisme. Etant parti prenante de nombreux entretiens dans le monde du web, je constate que même si le top 10 OWASP dit vaguement quelque chose à une grosse moitié des dev, on s'aperçoit qu'il ne sont pas légion à savoir précisément et concrètement quels en sont les tenants et aboutissants.
Tu parles du niveau général en sécurité, moi je te parle du niveau général tout court . Moi c'est pire, les anciens développeurs donnaient gratuitement les mots de passes, tous les donneées utilisateurs (addresse, telephone, ...). Parce que Mr le développeur a voulu faire de l'ORM. En plus, il est sensé être expert dedans. Des fois juste le bon sens, n'est pas respecté car ils contrôlent pas la technologie ou la technique.

Des fois c'est juste même culturel, en tant que français dans un pays étranger (je ne citerais pas le pays des bisounous), je râle trop à ce qu'il parait, je peux juste fermé ma gueule pour éviter de trop me la ramener. Mais juste la culture elle-même st trop forte pour faire quoi ce soit. Tu vois mais t'es obligé de fermer les yeux.
Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 15/05/2018 à 12:33
Citation Envoyé par micka132 Voir le message
L'un des gros dangers à venir c'est justement la programmation aux normes actuelles.
Aujourd'hui la norme est la mutliplication de brique dont on ne maitrise absolument rien.
Ce que tu décris n'est pas une norme mais un usage. Et effectivement c'est l'usage actuel. Je parlais bien de la prise en compte des normes de sécurité (contre mesure à appliquer pour se prémunir des vulns classiques, algorithmes de chiffrement/hash aux gouts du jour, etc) et des bonnes pratiques, que ce soit dans son propre code ou dans la vérification (tant que possible) de la sécurité des briques tierces. Et justement je mettrai dans les bonnes pratiques de sécurité le fait d'être conscient que les briques tierces ne sont pas exempt de failles, de les tenir à jour, et de rester informer pour obtenir rapidement des informations en cas publication de vulnérabilités sur ces briques.
Avatar de Anselme45 Anselme45 - Membre confirmé https://www.developpez.com
le 16/05/2018 à 11:57
Citation Envoyé par micka132 Voir le message
L'un des gros dangers à venir c'est justement la programmation aux normes actuelles.
Aujourd'hui la norme est la mutliplication de brique dont on ne maitrise absolument rien. Comment s'imaginer que le produit final peut-etre sécurisé? Des failles sont trouvées sur des briques très utilisées (éléctron pas plus tard qu'il y a pas longtemps) alors sur des "petites" briques dont les devs sont de plus en plus friands, c'est assurément un carnage en puissance qui se prépare .
La seule norme qui compte aujourd'hui c'est le fric...

1. On utilise des "briques" pour économiser le travail de développement

2. La sécurité des applications n'est pas prise au sérieux parce que le client n'est pas prêt d'en payer le coût

Tout autre argument n'est que de la littérature pour soirée pluvieuse...
Avatar de AoCannaille AoCannaille - Membre chevronné https://www.developpez.com
le 16/05/2018 à 15:27
Citation Envoyé par Anselme45 Voir le message
2. La sécurité des applications n'est pas prise au sérieux parce que le client n'est pas prêt d'en payer le coût
La question est du coup pourquoi le client n'est pas prêt de payer le coup de la sécurité?

Mon analyse est qu'aux niveaux des prestations de sécurisation, il n'y a que des engagements de moyens, et jamais de résultats. C'est à dire que jamais un presta ne peux dire "Je vous sécurise cette solution à 100%, si un problème arrive, c'est pour ma pomme".
A partir de ce constat, il y a toujours un risque de piratage, et pour le diminuer un peu, il faut augmenter les coûts beaucoup.

Donc quitte à garder un risque, autant diminuer les coûts... entre pas trop de risque et un peu plus, quelle différence?
Avatar de Anselme45 Anselme45 - Membre confirmé https://www.developpez.com
le 17/05/2018 à 11:21
Citation Envoyé par AoCannaille Voir le message
La question est du coup pourquoi le client n'est pas prêt de payer le coup de la sécurité?

Mon analyse est qu'aux niveaux des prestations de sécurisation, il n'y a que des engagements de moyens, et jamais de résultats. C'est à dire que jamais un presta ne peux dire "Je vous sécurise cette solution à 100%, si un problème arrive, c'est pour ma pomme".
A partir de ce constat, il y a toujours un risque de piratage, et pour le diminuer un peu, il faut augmenter les coûts beaucoup.

Donc quitte à garder un risque, autant diminuer les coûts... entre pas trop de risque et un peu plus, quelle différence?
Votre analyse est pertinente, mais je crains que les décideurs soient beaucoup plus "basiques" dans leur réflexion

Quand on gère sa société avec un tableau Excel, il n'y a que le total au fond de l'offre qui compte! J'en veux pour preuve des affaires que l'on a perdu face à des sociétés de développement marocaines qui proposent le développeur au prix de 80 euro/jour! Même le freelance le moins gourmand de France (un mec qui boit de l'eau à la rivière et qui se nourrit en broutant la pelouse du voisin) ne peut pas les concurrencer...
Contacter le responsable de la rubrique Accueil