Avant d’être installée et utilisée par les entreprises ou leurs collaborateurs, toute application doit faire l’objet d’un contrôle de sécurité, qu’il s’agisse d’applications de traduction, d’agendas partagés ou de plateformes de messagerie. Comment veiller à ce que l’application soit sûre ? Daniel Chromek, responsable de la sécurité informatique chez ESET, a énuméré les questions les plus importantes que tout spécialiste informatique devrait poser pour déterminer la sécurité d’une application.
1) Avez-vous préparé une checklist ?
“Lorsque nous essayons de déterminer si une application ou un service est sécurisé, nous suivons généralement une checklist préparée à l’avance, » explique M. Chromek. C’est également son premier conseil : préparez deux checklists :
- L’une concerne ce que vous devez rechercher dans l’accord de licence ou les conditions d’utilisation de l’application
- La seconde se rapporte à l’application elle-même et son utilisation
La première checklist peut s’appuyer sur la norme ISO 27002, et la seconde sur la norme de vérification de la sécurité des applications (mobiles) de l’OWASP, ainsi que sur vos propres expériences antérieures. Que doivent-elles inclure ? Les questions suivantes vous donneront un indice.
2) Le contrat prévoit-il un accord de non-divulgation ?
Pour toute application, les informaticiens doivent s’assurer que le contrat comprend un accord de non-divulgation (NDA). « En termes de service, un NDA n’est souvent défini que de manière vague. Nous pouvons généralement trouver une déclaration générique sur la protection des données, mais si nous voulons nous assurer que l’application est sûre, une recherche d’informations supplémentaires sera peut-être nécessaire. D’autres données peuvent être incluses, par exemple, dans la description de la sécurité d’une application ou dans les rapports d’audit de sécurité (par ex. le rapport SOC2). Ceux-ci peuvent fournir aux spécialistes de l’informatique un indice sur le traitement des données dans l’application, si elles sont chiffrées ou non, et ainsi de suite, » explique M. Chromek.
Un autre aspect à prendre en considération dans le cadre du NDA est ce qu’il advient des données une fois l’utilisation de l’application terminée. « Continueront-elles d’être protégées ? Seront-elles supprimées ? L’entreprise les récupérera-t-elle ? Ce sont des questions importantes auxquelles il faut répondre avant de déterminer la sécurité d’une application, » ajoute le CIO d’ESET.
Conditions d’utilisation que personne ne lit Ce site web (et son plugin pour navigateur) classe les conditions générales de différentes applications de A à F, c’est-à-dire de bonnes à mauvaises. Il peut être utile tant aux utilisateurs qu’aux administrateurs informatiques et peut donner à ses lecteurs une meilleure idée de la sécurité de l’application, même s’il ne devrait pas être considéré comme la principale source de vérité. |
3) Que se passe-t-il en cas de panne ou de défaillance de l’application ?
“Nous devons garder à l’esprit qu’une application peut s’appuyer sur un service externe, qui peut tomber en panne, » explique M. Chromek. « Nous devons donc demander ce qu’il advient de nos données lorsque le service ne fonctionne pas. » Un spécialiste en informatique devrait vérifier comment le contrat gère les éventuelles défaillances du service, et rechercher des rapports ou des pages d’état qui fourniraient des statistiques indiquant la fréquence des pannes de l’application et leur durée habituelle.
Un contrat de service devrait également préciser le type de compensation que les clients sont en droit d’attendre en cas de défaillance du service, ou lorsque les taux d’uptime et de défaillance s’écartent des chiffres prévus. Il existe différents types de pannes que l’application peut subir, allant d’un petit problème interne à des pannes sévères impactant la continuité des activités (par exemple l’incendie du centre de données d’OVHcloud) et même à des « pannes extrêmes » (par exemple en raison d’une guerre ou de catastrophes naturelles).
Les compensations désignées seront généralement différentes dans chacun de ces cas, et certains des scénarios susmentionnés peuvent être inclus dans les paragraphes relatifs à la limitation de la responsabilité ou à la force majeure.
Panne d’Atlassian en 2022 En avril 2022, une panne chez Atlassian, un éditeur de logiciels australien, a empêché ses clients d’accéder à leurs services pendant des semaines. La société avait reçu des messages de la part de ses clients concernant ce problème, mais pendant des jours, elle n’a fourni que des informations très vagues sur le problème ou la solution possible. Au final, un certain nombre de clients d’Atlassian ont subi des pertes importantes, pour lesquelles ils ne pourront être compensés qu’en crédits/remises sur les services d’Atlassian. On peut se demander dans ce cas si la compensation est adaptée ou même souhaitable pour les clients. Source: The Pragmatic Engineer, 2022. |
4) Peut-on effectuer des tests de pénétration ?
Même si les conditions d’utilisation semblent bonnes, l’état technique réel de la sécurité du service peut ne pas l’être. De nombreuses applications et de nombreux services ne fournissent aucune information sur les tests de sécurité dans leurs rapports. De plus, les conditions d’utilisation interdisent souvent strictement les actions qui font partie intégrante des tests, telles que tenter un accès non autorisé ou contourner l’authentification. Ces tests de pénétration peuvent cependant être essentiels pour déterminer si le service protège efficacement ou non les données des clients. Les spécialistes de l’informatique doivent donc essayer de communiquer avec les développeurs de l’application, et obtenir plus d’informations sur les résultats des tests de pénétration passés ou essayer de créer un accord séparé permettant la réalisation de tests de pénétration.
5) L’application est-elle développée et exploitée en toute sécurité ?
Pour en revenir au fait qu’il suffit d’installer une application pour utiliser un service différent, les spécialistes de l’informatique devraient non seulement déterminer si l’application elle-même est sûre, mais également s’assurer qu’elle est développée et exploitée en toute sécurité. Pour obtenir ces informations, ils devraient soit rechercher des rapports d’audit existants, tels que le rapport SOC2 Type II, soit faire auditer le nouveau fournisseur.
6) Quel est le plan de réponse aux incidents de sécurité de l’éditeur ?
Outre les problèmes de pannes occasionnelles, une application peut également être confrontée à d’autres incidents graves, notamment des fuites de données. « Lorsque cela se produit, nous devons nous assurer que l’éditeur nous en informe. Les entreprises ont une responsabilité envers leurs clients, leurs partenaires et leurs employés, et doivent réagir rapidement à tout incident, » explique M. Chromek. Lorsque les services traitent des données personnelles, la nécessité de signaler les fuites peut découler de réglementations telles que le RGPD ou la CCPA.
Inspirez-vous de la norme de vérification de la sécurité des applications de l’OWASP Ce projet fournit des bases pour la sécurité des applications web, mais comme l’explique Daniel Chromek, il est très exhaustif, et certaines parties peuvent être réutilisées pour des « clients lourds ». Les spécialistes de l’informatique peuvent s’en inspirer et choisir certains des points qui leur semblent les plus pertinents pour leur entreprise. |
7) Comment l’application gère la propriété intellectuelle ?
Les spécialistes de l’informatique devraient prêter une attention particulière à la manière dont l’application étudiée gère la propriété intellectuelle. « Le contrat peut souvent stipuler que l’application n’est pas responsable du contenu qui y est téléchargé afin de protéger les prestataires de services contre les poursuites relatives aux droits d’auteur (par exemple en vertu de la DMCA). Il peut également préciser que certains contenus peuvent être utilisés par l’application à des fins spécifiques "d’amélioration des services", ce qui peut conduire au développement de produits concurrents. Tous ces détails doivent être pris en compte, » déclare M. Chromek.
8) Quelles sont les autorisations recherchées par l’application ?
Par exemple, des applications de messagerie doivent permettre de nombreux types d’actions différentes : envoi de messages et de fichiers, enregistrement d’appels, partage de la localisation, etc. Cependant, certaines applications n’ont pas besoin d’autant de droits : « Lorsque nous avons une application qui se concentre par exemple sur les événements en ligne, et qu’elle demande votre localisation, l’accès à vos appels téléphoniques, l’envoi de SMS et ainsi de suite, cela n’a aucun sens. Réfléchissez à ce que fait l’application et vérifiez ensuite si les exigences de l’application ne dépassent pas ses besoins raisonnables, » conclut M. Chromek. .
Lire entre les lignes “Une application ou un service ne peut pas continuellement dissimuler son activité. Si des données sont collectées ou si vos informations sont partagées avec d’autres entreprises, ce sera dans le cadre des conditions d’utilisation. Toutefois, l’application peut tenter de masquer des informations importantes par des phrases génériques, de longues énumérations ou des clauses obscures. Il est utile de lire attentivement les conditions générales et de consulter d’autres sources, telles que des avis.” Daniel Chromek, ESET’s Chief Information Security Officer |