webleads-tracker

Comment l'OWASP Top 10 2013 peut vraiment aider le business

Le e-commerce, et donc les applications Web, représente une part croissante du chiffre d’affaires des entreprises. Et comme partout, il attire des délinquants : le marché noir du cybercrime est évalué à 104 milliards de dollars par an (Source HP).

Les derniers chiffres parlent d'eux-mêmes : 

Il devient donc critique de sécuriser ses applications.

En Juin 2013, l'OWASP (organisme mondialement reconnu sur la sécurité des applications Web), a publié sa nouvelle version de l'OWASP Top10. Ce document synthétique, incontournable pour tout acteur de l'e-commerce (chef de projet, développeur, …) permet de lutter efficacement contre le cybercrime en touchant tous les acteurs du projet. 

Chacune des pages est décomposée en 5 zones. 

Chacune des zones est utile à une ou plusieurs populations.

  • Zone 1 : pour expliquer et donc sensibiliser
  • Zone 2 et 4 : pour les testeurs
  • Zone 3 : pour les développeurs
  • Zone 5 : pour références pour les différents acteurs

zones

A titre d'exemple, considérons le premier risque (l'injection).

Sensibiliser

Le Top10 OWASP parle de risques pesants sur les applications. Il est totalement possible de ne pas rentrer dans le détail de chacun des risques grâce à la première zone de chacune des pages. Ce bloc résume le cheminement possible dans une application sur laquelle pèse le risque, et décrit l'impact technique tout comme l'impact métier.

Sensibiliser

Améliorer la Sécurité dans vos applications

Grâce aux 4 autres zones, il est possible pour le développeur, l'architecte logiciel, le testeur, ou le chef de projet de s'approprier le côté technique pour mettre en oeuvre les actions nécessaires.

La zone correction sert pour les développeurs :

La zone détection sert pour les testeurs :

La zone scénario sert pour les testeurs :

Zone scénario

Enfin, la dernière zone est à destination des différents acteurs et contient des références pour aller plus loin :

Zone références

Devenir un référentiel interne

Le premier élément manquant en sécurité du développement est le référentiel ! Autrement dit, comment s'y prendre pour :

  • détecter
  • contrôler
  • corriger
  • concevoir

de manière sécurisée l'applicatif.

Chacun des risques du Top10 est conçu sur ce modèle. Il devient donc un référentiel imposable pour l'ensemble de la chaine du développement applicatif. De plus certains organismes le référencent en demandant aux organisations de s'y conformer ! (PCI-DSS par exemple).

Bref, on peut tout faire avec, et il est actuellement impensable de ne pas s'y référer ni de le connaître. Pour le trouver, c’est ici.

Message subliminal : si vous souhaitez en savoir plus sur ce référentiel, suivez les webcasts à venir. Et si vous souhaitez maîtriser le Top10 sur le bout des doigts et aller encore plus loin, inscrivez-vous à la formation Sécurité des Applications Web d'Advens. 

Sébastien Gioria,

Consultant senior en Sécurité des Systèmes d'Informations, Advens

 

Date : 24 Septembre 2013