Le document DBIR (Data Breach Investigations Report) 2021 publié en mai par Verizon analyse les enquêtes sur les accidents et violation de données informaticiens de l'année difficile qui vient de s'achever.
Parmi les différentes preuves identifiées dans les causes d'accidents et de pertes de données, une est frappante à la fois pour la récurrence dans les deux catégories et pour la position au classement - deuxième plus important : les attaques sur les applications web.
La combinaison de la transformation numérique des entreprises et de l'urgence pandémique ont caractérisé des changements importants, qui ont récemment énormément amplifié l'utilisation des applications web pour une grande partie de la productivité personnelle et professionnelle.
D'une part, le très déplorable "travail à domicile" s'est en fait avéré être une excellente solution, qui a contribué à atténuer les ravages qui auraient autrement affecté les opérations des entreprises de manière importante.
Des entreprises dont les dirigeants et les employés ont fait preuve d'une créativité remarquable malgré les problèmes d'infrastructure et de fonctionnement connus.
D'autre part, il y a eu une augmentation exponentielle de la surface d'attaque exposée et des risques de compromission qui en découlent.
Le consortium Open Web Application Security Project (OWASP) maintient une liste de 10 catégories de vulnérabilités graves sur les applications web, afin de permettre aux équipes de sécurité d'intervenir dans leur contrôle.
Le problème réside dans le manque d'attention à unhygiène numérique préventive et des contrôles appliqués uniquement lorsque l'application est publiée sur Internet, donc accessible à la fois par les utilisateurs légitimes et - malheureusement - par les cybercriminels.
Une autre cause de faiblesse des applications web réside dans les intervalles très larges - parfois même des semestres ou plus - avec lesquels sont effectués les contrôles de présence de vulnérabilités.
Il est nécessaire d'augmenter le niveau de maturité des entreprises et des organisations vis-à-vis de cette manque d'hygiène numérique, avec une action souvent appelée déplacer la sécurité à gauche.
Pour mieux comprendre l'idée, le processus par lequel les applications Web sont développées, vérifiées et finalement publiées doit être analysé, selon les impératifs de la méthodologie agile qui prévoit l'intégration continue, la livraison continue / le déploiement (CI / CD).
Souvent représenté comme un cycle qui ressemble à la forme de l'infini mathématique, le flux opérationnel d'intégration continue et de mise en œuvre est fréquemment résumé par le terme DevOps - indiquant l'étroite collaboration entre l'équipe de développement (Dev) et l'équipe de gestion opérationnelle (Ops).
La question importante à ce stade devient : où insérer les contrôles de sécurité, pour éviter que des vulnérabilités - donc des vecteurs d'attaque potentiels - ne soient découvertes lorsque l'application est visible et accessible par n'importe qui ?
Voici l'idée derrière "Shift Left Security".
Lorsqu'une organisation met en œuvre le paradigme DevOps, le processus implique souvent l'adoption de plateformes logicielles qui facilitent la transition entre les différentes phases du cycle.
Des exemples de ces plates-formes sont Jenkins, Bamboo, TeamCity, etc.
La logique utilisée consiste à gérer les différents moments, comme récupérer le code du référentiel centralisé (ex. GitHub), exécuter les instructions pour compiler l'application (phase de construire), effectuer des actions avant ou après la construire (par exemple, transférer le produit semi-fini dans un autre environnement ou exécuter le compilé).
La plupart de ces plates-formes sont structurées de manière ouverte, prenant en charge des plug-ins logiciels qui permettent d'étendre les fonctions de base fournies par la plate-forme.
Grâce à ces plug-ins, il est possible d'intégrer des contrôles de sécurité automatiques, afin qu'ils interviennent dans les étapes entre une phase et la suivante.
Selon les plug-ins utilisés, il est même possible de définir des politiques de sécurité, sur la base desquelles le construire peut se terminer avec succès ou avec une erreur (image du bas).
Par exemple, définir qu'en présence de vulnérabilités logicielles au-delà d'un certain seuil numérique ou de criticité, progresser le long de la pipeline D'autres options de configuration du plug-in permettent d'exposer les erreurs et les problèmes de sécurité directement dans l'écran visible aux développeurs, afin de les rendre autonomes dans la résolution du problème.
De cette manière, les contrôles de sécurité se déplacent de plus en plus vers l'origine, garantissant une meilleure résilience de l'application lorsqu'elle est finalement mise en production et atténuant le risque de cyberattaques.
La technique de "Décaler à gauche" il ne concerne pas seulement les pipelines de production d'applications Web, mais est souvent adopté pour mettre en œuvre le même niveau d'agilité dans des domaines tels que les conteneurs d'applications, la formation des ressources cloud, les images serveur et client, l'infrastructure.
En substance, il s'agit d'une croissance de la maturité du programme de sécurité d'une organisation qui parvient à combiner efficacement agilité, vitesse opérationnelle et efficacité dans les contrôles de sécurité.
Images : Verizon DBIR 2021 / Web