Sécurité des applications

Qu’est-ce que la sécurité des applications ?

L’expression Sécurité des applications décrit les mesures de sécurité au niveau des applications qui aident à empêcher le vol ou le détournement de données ou de code contenus dans les applications. Elle inclut les considérations portant sur la sécurité qui interviennent lors de la conception et du développement des applications, ainsi que les systèmes et approches de protection des applications après leur déploiement.

La sécurité des applications peut inclure le matériel, les logiciels et les procédures qui identifient ou limitent les vulnérabilités de sécurité. Ainsi, un routeur qui empêche les utilisateurs d’afficher l’adresse IP d’un ordinateur depuis Internet constitue une fonctionnalité matérielle de sécurité des applications. Toutefois, les mesures de sécurité au niveau des applications sont généralement intégrées dans le logiciel, par exemple le pare-feu d’application, qui définit précisément les activités autorisées et interdites. Les procédures peuvent entraîner, par exemple, des routines de sécurité qui incluent des protocoles comme les tests réguliers.

Découvrez comment réduire les menaces en limitant la surface d’attaque des applications sur les différents environnements.

Télécharger gratuitement

Rubriques connexes

Définition de l’expression Sécurité des applications

La gestion de la sécurité des applications est le processus qui consiste à développer, ajouter et tester des fonctionnalités de sécurité au sein des applications, afin d’éviter les vulnérabilités face à des menaces telles que les accès et les modifications non autorisés.

Importance de la sécurité des applications

La sécurité des applications est importante, car les applications d’aujourd’hui sont souvent disponibles sur divers réseaux et connectées au Cloud, ce qui augmente leur vulnérabilité aux menaces et aux violations de sécurité. On constate de plus en plus de pression et d’incitations à ne pas uniquement garantir la sécurité au niveau du réseau, mais également au sein des applications elles-mêmes. L’une des raisons à cela est le fait que les hackers s’attaquent davantage aux applications que par le passé. Les tests de sécurité des applications peuvent révéler les défauts au niveau des applications, afin d’empêcher ces attaques.

Types de sécurité des applications

Voici différents types de sécurité des applications : authentification, autorisation, chiffrement, journalisation et test de sécurité des applications. Les développeurs peuvent également coder des applications permettant de réduire les vulnérabilités de sécurité.

Les développeurs de logiciels peuvent intégrer des procédures d’authentification et d’autorisation dans une application, afin de s’assurer que seuls les utilisateurs autorisés peuvent y accéder. Grâce aux procédures d’authentification, le système s’assure que l’utilisateur est bien le bon. Pour cela, le développeur peut demander la saisie d’un nom d’utilisateur et d’un mot de passe lors de la connexion à une application. L’authentification multifacteur requiert plusieurs formes d’authentification. Les facteurs utilisés peuvent être un élément que vous connaissez (un mot de passe) ou que vous avez (un appareil mobile) ainsi qu’un élément permettant de vous identifier (lecture d’empreintes ou reconnaissance faciale).

Une fois authentifié, l’utilisateur peut être autorisé à accéder à l’application et à en tirer parti. Le système s’assure alors que l’utilisateur est capable d’accéder à l’application, en comparant son identité avec celles d’une liste d’utilisateurs autorisés. L’authentification doit être effectuée avant l’autorisation, afin que l’application compare uniquement les informations d’authentification validées des utilisateurs à celles de la liste d’utilisateurs autorisés.

Une fois que l’utilisateur authentifié a pu accéder à l’application, d’autres mesures de sécurité peuvent empêcher un pirate informatique d’afficher des données sensibles, voire de les exploiter. Dans les applications Cloud, le trafic contenant les données sensibles transite entre l’utilisateur et le Cloud. Or, ce trafic peut être chiffré de manière à protéger ces données.

Pour finir, en cas de violation de sécurité dans une application, la journalisation peut permettre d’identifier les utilisateurs ayant eu accès aux données concernées et de savoir comment ils ont pu y parvenir. Les fichiers journaux d’une application proposent un enregistrement horodaté des éléments auxquels les utilisateurs ont accédé et de ces utilisateurs. Il est nécessaire de tester la sécurité des applications pour vérifier que l’ensemble des contrôles de sécurité fonctionne correctement.

Sécurité des applications dans le Cloud

Ce type de sécurité s’accompagne de défis supplémentaires. Comme les environnements Cloud fournissent des ressources partagées, il faut impérativement s’assurer que les utilisateurs ont uniquement accès aux données qu’ils sont autorisés à afficher dans leurs applications Cloud. Les données sensibles sont également plus vulnérables dans les applications Cloud, car elles transitent entre l’utilisateur et l’application, via Internet.

Sécurité des applications mobiles

Les appareils mobiles transmettent et reçoivent également des informations via Internet, à l’inverse d’un réseau privé. Pour cette raison, ils sont vulnérables en cas d’attaque. Les entreprises peuvent utiliser des réseaux privés virtuels (VPN) afin d’ajouter une couche de sécurité des applications mobiles pour les collaborateurs qui se connectent aux applications à distance. Les départements informatiques peuvent également décider de valider les applications mobiles, en s’assurant qu’elles sont conformes aux stratégies de sécurité de la société avant d’autoriser les collaborateurs à les utiliser sur des applications mobiles connectées au réseau d’entreprise.

Sécurité des applications Web

Ce type de sécurité s’applique aux applications Web (applications ou services auxquels l’utilisateur accède via un navigateur, sur Internet). Comme les applications Web se trouvent sur des serveurs distants, et non sur les ordinateurs locaux des utilisateurs, les données doivent être transmises vers et depuis l’utilisateur, via Internet. La sécurité des applications Web est particulièrement importante pour les entreprises qui hébergent des applications Web et proposent des services Web. Ces entreprises décident souvent de protéger le réseau contre toute intrusion en appliquant un pare-feu d’applications Web. Ce type de pare-feu inspecte et, si besoin, bloque les paquets de données considérés comme dangereux.

Qu’est-ce qu’un contrôle de sécurité d’application ?

Ces contrôles sont des techniques permettant d’optimiser la sécurité d’une application au niveau du codage, ce qui la rend moins vulnérable aux menaces. Une grande partie de ces contrôles porte sur les réponses de l’application aux entrées inattendues qu’un cybercriminel peut utiliser pour exploiter une faiblesse. Un programmeur peut écrire le code de l’application de sorte à avoir un contrôle plus étendu sur le résultat de ces entrées inattendues. Un test à données aléatoires (fuzzing), qui porte sur la sécurité des applications, permet aux développeurs de tester les résultats de valeurs ou entrées inattendues pour identifier ceux qui entraînent un comportement inattendu de l’application, susceptible d’ouvrir une faille de sécurité.

Qu’est-ce qu’un test de sécurité des applications ?

Les développeurs testent la sécurité des applications logicielles lors du processus de développement, afin de vérifier que la nouvelle version ou la version mise à jour de l’application ne présente aucune vulnérabilité. Un audit de sécurité peut permettre de garantir la conformité de l’application avec un ensemble spécifique de critères de sécurité. Une fois que l’application a passé cet audit, les développeurs doivent s’assurer que seuls les utilisateurs autorisés peuvent y accéder. Lors d’un test de pénétration, un développeur se met à la place d’un cybercriminel et essaie d’accéder de force à l’application. Ce type de test peut inclure une forme d’ingénierie sociale, ou tenter de tromper l’utilisateur et de l’amener à autoriser un accès frauduleux. Les testeurs administrent généralement les analyses de sécurité non authentifiées et authentifiées (en tant qu’utilisateurs connectés) afin de détecter les vulnérabilités de sécurité susceptibles d’apparaître pour ces deux types d’analyse.

Solutions et ressources VMware pour la sécurité des applications

Assurer la sécurité des données en 3 étapes avec la virtualisation des postes de travail et des applications

Les solutions de virtualisation des applications et postes de travail de VMware aident les organisations à protéger les données d’entreprise tout en optimisant la productivité des utilisateurs. La question se pose : de quelle manière ? Les solutions de virtualisation des applications et postes de travail appliquent trois méthodes simples pour protéger les données d’entreprise.

Le défi de la sécurisation des applications modernes

Ces solutions incluent généralement des réseaux de serveurs, machines virtuelles, services et bases de données, qui travaillent en collaboration. Cela signifie que la sécurité des applications doit être aussi agile que les applications elles-mêmes.

Logiciel de sécurité des applications - AppDefense

Plutôt que de chasser les menaces, AppDefense cerne le comportement et l’état prévu d’une application, et contrôle les modifications apportées à cet état prévu et susceptibles d’indiquer une menace. Lorsqu’une menace est détectée, AppDefense répond automatiquement.

Sécurisation des applications et de l’infrastructure

vSphere offre une sécurité intégrée complète et constitue le centre névralgique d’un Software-Defined Data Center (SDDC) sécurisé en garantissant la sécurité des applications, de l’infrastructure, des données et des accès.

5 méthodes pour sécuriser les applications, où qu’elles se trouvent

Les applications modernes sont vulnérables face aux hackers et logiciels malveillants. Il n’a jamais été aussi simple de lancer une attaque et le nombre de pertes liées aux violations de sécurité est en hausse.

Logiciel de virtualisation et de sécurité du réseau

VMware NSX® Data Center fournit l’intégralité des fonctions réseau et de sécurité virtualisées sous forme logicielle, ce qui représente une composante majeure du Software-Defined Data Center (SDDC) ; en outre, la solution met en œuvre le réseau Cloud virtuel permettant de connecter et protéger les Data Centers, Clouds et applications.

À l’heure actuelle, 73 % des entreprises utilisent au moins deux Clouds publics. Incontestablement, le multicloud accélère la transformation digitale, mais il introduit également de la complexité et des risques.

Les services VMware Cross-Cloud™ permettent aux entreprises d’exploiter le potentiel du multicloud, tout en assurant la sécurité et la résilience de l’entreprise.

Anywhere Workspace

Plate-forme applicative

Infrastructure Cloud et Edge

Gestion du Cloud

Hyperviseur de poste de travail

Sécurité et réseau

Exécutez les solutions VMware dans tous les Clouds. Dans n’importe quel environnement. N’importe où.

Sur les Clouds publics et hybrides

Sur un Cloud privé et une infrastructure hyperconvergée ( HCI)

Solutions

Par secteur d’activité

Gérer votre environnement multicloud

Pour les clients

Pour les partenaires

Collaborer avec des partenaires pour assurer la réussite des clients

Outils et formation

Services

Support

Marketplace

Blogs et communautés

Clients

Événements