Les 9 objections à la sécurité des sites internet - La sécurité réseau

Une objection qui revient continuellement est l'association de la sécurité web avec la sécurité "classique" : "La sécurité est un problème réseau. Il y a des pare-feux, les mises à jour automatiques, une bonne gestion de la configuration et une connexion SSL actuellement en place pour nous protéger."

Ces mesures de sécurité sont conçues pour défendre les couches réseau et hôte, et elles font du très bon travail. Tant et si bien que les attaques d’aujourd’hui ont remonté les couches vers la couche application, où les contrôles de sécurité traditionnels offrent peu ou pas de protection :

• Les pare-feux autorisent les ports 80 et 443 pour passer le trafic web, y compris les attaques malveillantes, sans aucun problème à travers le site web.

• Les bénéfices apportés par une bonne gestion des mises à jour sont inexistants pour des applications développées spécifiquement. Tous les logiciels personnalisés, développés en interne ou externalisés, ne sont tout simplement pas couverts.

• SSL assure la confidentialité et l’intégrité des données en transit, mais ne protège pas les applications qui sont directement attaquées.

Pour obtenir une application réellement sécurisée, c'est l’application elle-même qui doit être visée.