latribuneducloud

Home » Le point de vue des fournisseurs » Quel danger du code tiers pour la sécurité du Cloud ?

Quel danger du code tiers pour la sécurité du Cloud ?

Archives

Calendrier

February 2013
M T W T F S S
« Jan   Mar »
 123
45678910
11121314151617
18192021222324
25262728  

Dans le rapport de janvier sur l’activité des hackers, intitulé « Lessons Learned from the Yahoo! Hack », Imperva passe en revue les dangers de la présence de code tiers dans l’informatique Cloud.

En décembre 2012, un pirate a attaqué Yahoo! via une injection SQL, s’appuyant sur une vulnérabilité dans une application tierce fournie sur le site web de Yahoo! Cette attaque souligne le risque qui pèse sur de nombreuses applications web : beaucoup font appel à des programmes tiers (comme des API) qui n’ont pas été programmés par les développeurs eux-mêmes.

« La vulnérabilité utilisée n’a pas été programmée par les développeurs de Yahoo! et elle n’était même pas présente sur les serveurs de Yahoo! », déclare Amichai Shulman, CTO d’Imperva. « Néanmoins, c’est Yahoo! qui a été attaqué à travers ce code tiers.Il ressort de cette attaque que les entreprises présentes sur le Web doivent prendre la responsabilité de sécuriser le code tiers et les applications dans le Cloud. »

Dans son rapport « Lessons Learned from the Yahoo! Hack », Imperva proposeplusieurs recommandations.

D’un point de vue légal, les entreprises devraient :

– Définir contractuellement des clauses légales sur ce qu’elles accepteront ou non en matière de sécurité.
– Intégrer des activités de sécurité pour toute fusion ou acquisition.

D’un point de vue technique, il est conseiller de :

– Conduire une évaluation de la vulnérabilité des applications Web. L’évaluation manuelle de la sécurité ou l’utilisation adéquate d’un système automatisé de sécurisation de ces applications permet de détecter les vulnérabilités potentielles, qui doivent être prises en compte dans le cycle de développement des logiciels.
– Mettre en place un pare-feu d’applications web (Web Application Firewall ou WAF), qui servira de point d’application des règles de sécurité pour éviter l’exploitation des applications web vulnérables.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: