mardi 23 juin 2015

La sécurité du SI est-elle compatible avec son ouverture?

Le 16 juin se tenait la 4eme matinée API Connection sur le thème de l'ouverture des APIs à l'extérieur; des standards et de l'approche de la sécurité que cela impose.

Mais ce fut surtout la démonstration de la vulnérabilité des applications et la multiplicité de témoignages sur l'importance de la prise en compte de la sécurité, dès la phase de design, et surtout pendant la phase de développement, donc au sein du code.

Les API, ces interfaces programmatiques entre applications, sont devenues essentielles avec la transformation digitale des entreprises, quand ces dernières développent de nouveaux services sur internet, ouvrent leurs données et leurs SI, notamment vers les mobiles et les objets connectés de leurs clients ou partenaires.

Mais cette ouverture, clé de voûte du digital et des échanges de données au sein de l'écosystème numérique de votre entreprise, n'est pas sans risque. Car elle peut aussi se transformer rapidement en porte d'entrée à votre SI.

Oui, le monde digital est risqué.
Oui, les applications sont un maillon faible.
En tout cas plus risqué que le monde IT que l'on a connu, fermé et limité aux utilisateurs de l'entreprise. Car le digital, via internet, amène une interconnexion mondiale, donc augmente considérablement le nombre d'acteurs qui peuvent vouloir accéder à votre SI. Mais aussi parce qu'il impose un rythme d'évolution rapide aux applications. Et donc beaucoup plus de changements, qui a leur tour, demandent plus de tests, alors que justement on a moins de temps et parfois moins de budget. Comment résoudre cette équation?

L'accroissement des menaces liées à la cybersécurité est aussi confirmé par 85% des répondants de  l'enquête CXP-PAC publiée pour l'occasion. Se lancer dans des initiatives digitales demande donc de pouvoir rétablir la confiance, à la fois pour soi, mais aussi pour ses partenaires.

 


Car sans confiance, la transformation digitale pourrait être fragile, comme en atteste les deux témoignages qui suivent.

Thierry Floriani, RSSI de Numergy, un opérateur français de Cloud ayant notamment mis en place un SOC - Security Operations Center - pour gérer la sécurité de ses plateformes, a présenté une data-visualisation des accès à leurs datacenters dans les 5 premières minutes après la révélation de la faille Heartbleed.

L'exploitation de la faille est immédiate et mondiale. On observe une multiplication des accès aux datacenters, avec des configurations suspectes qui apparaissent rapidement et qui essayent tous les ports, un par un, de chaque serveur.
Sur une plus longue période on remarque que les attaques commencent à l'Est, notamment depuis la Chine, puis depuis l'Europe et ensuite depuis l'Amérique. Le pic se produisant à chaque fois pendant les heures ouvrées du fuseau horaire, comme si hacker était devenu un métier, avec ses heures de bureau... 

Donc oui, la mer est dangereuse, et les pirates sont minoritaires. Ils ont été remplacés par des corsaires à la solde de puissances qui organisent ces cyberattaques en fonction de leurs intérêts.
 
Autre démonstration par Sébastien Gioria, leader du Chapitre Française de l'OWASP, qui a pris l'exemple des véhicules connectés. Les applications qui permettent de localiser son véhicule et d'activer certaines fonctions à distance, existent dans les stores d'applications mobiles depuis quelques temps.

Une fois installées sur un smartphone, il est relativement simple d'accéder aux fichiers de l'application et de les mettre en langage clair. Si par mégarde les API et les clefs d'accès ou de chiffrement, sont écrites en clair dans le code, ou si la logique de sécurisation est un peu trop lisible et contournable (ex. la clef secrète s'appelle SECURE_KEY), c'est la porte ouverte à des pirates. Et avec un peu d'imagination, ils peuvent écrire de nouvelles applications, certainement moins sympathiques pour les conducteurs de ces luxueux véhicules connectés.

Les équipes de Porsche, qui vient d'annoncer en avril dernier son application sur Apple Watch, doivent certainement être mobilisées sur le sujet...

 

Comment intégrer la sécurité dans une démarche de développement?

L'OWASP, c'est une fondation américaine née en 2001 et représentée en France par une association, dont les travaux sont reconnus et cités dans des standards et des recommandations en matière de sécurité applicative, dont les guides de l'ANSSI notre agence nationale pour la sécurité des SI.La présentation de Sébastien Gioria sur les risques technologiques et les bonnes pratiques à adopter nous donne les premières pistes de la sécurisation des applications. 

La première piste, c'est de faire l'hypothèse que toute application sera piratée. Ce n'est qu'une question de temps. Nous sommes passés de l'âge de l'antivirus, où il suffisait de protéger son PC, à celui de la sécurité périmétrique qui cloisonne un système, et maintenant à celui de la sécurité applicative. En bref les applications, mobiles ou web, doivent être sécurisés intrinsèquement et ne plus supposer qu'elles vont s'exécuter sur un environnement lui même sécurisé. 

La seconde piste, c'est de connaître les faiblesses de ses applications et donc de savoir comment elles seront piratées. Plus facile à dire qu'a faire. Car cela veut dire de connaître son code et son architecture. Deux choses, qui, dans une économie numérique, ne peuvent plus se sous-traitent à un intégrateur sans être revues et recettés. Et dans le cas des sites internet, encore moins à une agence web, au profil souvent moins technique et n'ayant pas toujours de profils architectes.



La troisième serait de ne jamais stocker de secret sur le client, si on ne veut pas qu'ils soient dérobés et deviennent ensuite des portes ouvertes. Rappelez vous de la démonstration des clefs API de la voiture connectée. Il vaut mieux utiliser l'authentification sur le serveur, dès que c'est possible, et mettre en place un coffre fort sur le client, si vraiment le stockage est nécessaire.

Bien sûr entre le client et le serveur, il faut chiffrer le trafic et sécuriser les identifiants.

Tout cela va donc demander de s'intéresser et de s'impliquer plus dans le développement des applications. Mais aussi de convaincre et d'aider les développeurs à se tenir à jour sur les techniques de sécurisation qui évoluent avec les technologies et les nouvelles failles non corrigées. Pour cela, le "Top 10" des failles applicatives, document publié par l'OWASP et mis à jour régulièrement, est un bon point de départ.

Comment protéger son patrimoine immatériel?

La sécurité du SI c'est aussi celle de ses investissements. 

Car les API ont de la valeur (c'est d'ailleurs l'objet de la 5eme matinée API Connection le 9 juillet prochain). Il faut donc protéger son patrimoine intellectuel. Le juridique, au même titre que le RSSI, joue donc un rôle dans la sécurisation du SI de l'entreprise, par la protection juridique du patrimoine immatériel qu'il permet.

Lors de cette matinée, c'est Christiane Féral-Schuhl, avocate associée, et ancienne bâtonnier de Paris, qui a rappelé le droit qui s'applique au logiciel et aux API. Une loi qui a d'ailleurs introduit le droit à la décompilation en 1994, "quand c'est indispensable pour assurer l'interopérabilité entre deux logiciels" (Directive du 14 mai 1991, loi du 10 mai 1994). Les API entrent donc dans ce contexte.

On voit que l'on vient d'un autre monde, tellement fermé, qu'il fallait l'ouvrir par la loi... aujourd'hui le problème s'est inversé.
Les API sont donc protégées par le droit d'auteur, sous condition d'originalité. Aucune formalité n'est nécessaire, mais il vaut mieux, par précaution, déposer ses sources. Il est plus difficile d'obtenir un brevet, a moins de l'inclure dans un système plus global où l'interopérabilité joue un rôle important.

Quand vous utilisez des API, tracez que vous en avez bien l'autorisation du titulaire des droits (même si elles sont ouvertes).
Les API menant aux données de l'entreprise, le niveau de sécurité requis pour les administrations est celui du RGS (Référentiel Général de Sécurité) mais il n'y a pas d'obligation générale pour les entreprises, sauf dans le cas de données personnelles où la loi Informatique et Libertés s'applique.
 
Avec ces recommandations je suis sûr que vous vous sentez maintenant l'âme d'affronter les corsaires, ou d'aller vous rassurer sur la sécurité de vos applications internet auprès de vos équipes informatiques.... si vous avez pensé à bien les associer à votre stratégie digitale.

Mais vous pouvez aussi fréquenter les participants de la "Nuit du hack 2015" (#ndk2k15) qui s'est tenue le week-end dernier à Paris et où Guillaume Poupard, le Directeur Général de l'ANSSI s'est déplacé pour délivrer une keynote devant ce public aguerri aux arcanes de la sécurité informatique. Avec l'immense tâche de la cybersécurité devant elle, GreenSI ne serait pas étonné que notre agence nationale ne cherche à recruter...

Les opportunités associées au digital sont importantes, mais les risques sont bien réels et à prendre au sérieux. Espérons que ce billet vous permettra de mobiliser autour de ce sujet.
Previous Post
Next Post
Related Posts

L'humour de ceux qui aiment le numérique