Février 2022
Série sensibilisation
ITSAP.10.099
Format de rechange : Isoler les applications web (ITSAP.10.099) (PDF, 950 KO)
Il existe divers moyens d’isoler les applications Web dont vous vous servez probablement déjà sur vos appareils du travail et personnels. Si des mesures adéquates de sécurité ne sont pas intégrées à ces services, ils sont alors vulnérables aux fuites de données et autres problèmes de sécurité.
On entend par application Web tout programme auquel on peut accéder à partir d’Internet et qui utilise la technologie du Web et des navigateurs pour effectuer des tâches. On pense par exemple aux services de courriel, aux traitements de texte, aux convertisseurs de fichiers en ligne et aux calendriers. Les données que vous consignez dans ces applications sont stockées dans le nuage, ce qui les rend facilement accessibles lorsque vous en avez besoin, mais cela les expose également aux cyberattaques.
Menaces courantes
Les auteurs de menace ciblent les applications Web pour accéder sans autorisation à de l’information, voler des justificatifs d’identité, effectuer des attaques par déni de service ou endommager l’application. Les auteurs de menace peuvent utiliser ces applications comme point d’entrée pour endommager des systèmes qui sont importants pour vous et votre organisation. On compte notamment parmi les menaces courantes :
- Attaques par script intersites (XSS) : Lorsqu’un auteur de menace injecte des scripts malveillants dans une application Web de confiance. Ensuite, l’appareil d’un utilisateur devient infecté par du code malveillant qui donne accès à l’auteur de menace à des renseignements de nature sensible enregistrés dans l’application.
- Attaque par injection SQL : Un auteur de menace exécute une instruction SQL malveillante dans laquelle on demande à l’utilisateur de saisir de l’information (p. ex. dans le champ de texte du nom d’utilisateur ou du mot de passe). L’auteur de menace peut ensuite manipuler des données sensibles dans votre base de données.
- Commande de faille d’injection : Lorsqu’un auteur de menace prend le contrôle d’une application en relayant du code malveillant de l’application vers un autre système.
- Surcharge de la mémoire tampon : Un auteur de menace provoque l’arrêt du fonctionnement d’une application, ou en prend le contrôle, en envoyant des quantités extrêmement importantes de données à l’application.
- Attaques de force brute : Un auteur de menace fait appel à la méthode d’essais et erreurs pour obtenir des renseignements liés à l’authentification (p. ex. un mot de passe). En cas de succès, il aura un accès au compte d’un utilisateur et à toutes les informations sensibles associées au compte (p. ex. informations stockées sur la carte de crédit).
- Attaque par traversée de chemin (Path traversal) : L’auteur de menace accède aux fichiers et répertoires stockés en dehors du dossier racine du système de fichiers. Il peut accéder au code source, aux informations d’identification de l’utilisateur, aux bases de données ou aux fichiers sur la configuration et les systèmes essentiels.
Protégez les applications web de votre organisation
Nous vous recommandons fortement d’isoler les applications Web afin de réduire les risques de compromission des réseaux principaux et des systèmes d’information. Ainsi, si une application Web isolée est infectée ou compromise, l’exploit est contenu et ne peut pas se répandre dans tout le système (c.-à-d. que l’application est mise dans un bac à sable [sandbox]).
La virtualisation est un moyen courant d’isoler les applications Web. La virtualisation des postes de travail crée une ou plusieurs ressources virtuelles équivalentes simulées (p. ex. un serveur, un poste de travail, un système d’exploitation ou de stockage, un réseau) d’un système informatique.
Architecture virtuelle - Description détaillée
Ce diagramme représente un système d’architecture virtuelle. Les trois cases supérieures portent la mention « Appli » (pour « Applications ») et juste en dessous se trouvent trois cases portant la mention SE (pour « Système d’exploitation »). En dessous de ces trois cases se trouve une longue case qui porte la mention « Couche de virtualisation (Hyperviseur) », et en dessous de cette case se trouve une autre longue case de la même taille qui porte la mention « Matériel (Serveur physique) ». Le diagramme représente comment les applications se trouvent dans les systèmes d’exploitation, qui se trouvent dans l’hyperviseur et le tout se retrouve dans le matériel (serveur physique). La base du diagramme indique « Architecture virtuelle » pour signifier que ce diagramme représente les composants clés d’une architecture virtuelle.
Cette simulation fonctionne dans un environnement isolé et sépare les applications de l’utilisateur des autres programmes ou du système d’exploitation dans lequel elles s’exécutent. Les applications fonctionnent et s’exécutent sans toutefois être installées dans l’ordinateur de l’utilisateur.
Pour savoir comment isoler vos applications Web, rendez-vous sur le site Web du Centre pour la cybersécurité pour consulter l’ITSAP.70.011 – La virtualisation de votre infrastructure.
En plus de la virtualisation, votre organisation devrait songer à prendre les mesures suivantes :
- Analyser et tester les applications pour y détecter des vulnérabilités
- Les vulnérabilités sont les défauts ou les faiblesses d’un système d’information ou de son environnement pouvant être exploités par un auteur de menace pour causer des dommages aux actifs ou nuire aux opérations de votre organisation.
- Mettre les à jour les applications et y appliquer les correctifs de sécurité les plus récents
- Les mises à jour et les correctifs de sécurité rendent les applications plus sûres et en améliorent le fonctionnement.
- Mettre en place une liste d’applications autorisées
- Une liste d’applications autorisées détermine quelles applications ont l’autorisation d’être exécutées dans un système informatique.
- Mettez en œuvre les coupe-feux de vos applications Web
- Il existe deux types différents de pare-feu d’application : les coupe-feux d’application au niveau du réseau et les coupe-feux d’application au niveau de l’hôte. Les deux fournissent une barrière qui empêche que l’on accède depuis l’extérieur aux ressources système locales.
- Appliquez le principe de droit d’accès minimal
- En appliquant le principe de droit d’accès minimal, vous accordez aux personnes uniquement l’ensemble des privilèges dont elles ont besoin pour faire leur travail. Ce principe permet de limiter les dommages pouvant résulter d’une utilisation non autorisée – abusive ou accidentelle – d’un système d’information.
À retenir
Isoler les applications Web permet de limiter les dommages que pourraient causer les auteurs de menace aux réseaux, systèmes d’information et appareils de votre organisation. La virtualisation est un moyen courant et efficace d’isoler les applications Web.
Isoler les applications Web n’est qu’un moyen parmi d’autres pour améliorer la cybersécurité de votre organisation. Pour une protection optimale de votre organisation contre les cybermenaces, consultez et mettez en œuvre toutes les mesures recommandées dans l’ITSM.10.089 – Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information.