Sécuriser le réseau est loin d’être suffisant
Selon Xavier Paradon, Directeur Technique de Valtech Training et concepteur du cours Hacking des applications Web, « la très grande majorité des personnes impliquées dans les projets d’applications Web (développeurs, chefs de projet, maîtrise d’ouvrage…) n’ont qu’une très vague idée des risques encourus par une application Web développée sans se préoccuper de sécurité. La plupart d’entre elles considèrent que la sécurité est essentiellement liée au monde des réseaux et que les réponses doivent donc être apportées par les administrateurs systèmes et réseaux. Pourtant il ne sert à rien de sécuriser en profondeur son réseau pour laisser de gros trous de sécurité dans ses applications ».
Les applications Web sont très peu protégées
Il suffit parfois simplement d’utiliser les champs de saisie de l’application, avec du code SQL approprié, pour s’introduire dans le système et avoir accès aux données. Face à ce genre de situation, il se produit souvent une prise de conscience au sein de l’équipe projet qui découvre combien son application est ouverte aux internautes plus ou moins bien intentionnés, comme aux utilisateurs peu vigilants. Les remèdes sont pourtant souvent simples et peu coûteux. Dans la plupart des cas, ils ne nécessitent pas d’investissement matériel ni logiciel mais une culture commune chez les développeurs, soit un peu de temps homme, et le suivi scrupuleux de règles de codage.
Une formation pour éviter aisément les attaques les plus courantes
Fort de ce constat Valtech Training a développé une formation destinée à sensibiliser à ce problème tous les acteurs des projets de développement d’applications Web, du directeur informatique au concepteur en passant par les chefs de projet. Dans un premier temps, afin d’unifier le niveau de connaissance, ce cours revient sur les bases de la sécurité (authentification, SSL, VPN, Virus…) comme sur celles spécifiques à la saisie et l’authentification sur le Web (re-post des données, gestion des sessions authentifiées…). Puis les attaques les plus courantes sont analysées (SQL Injection, détournement de sessions authentifiées, Cross Site Scripting…). Enfin, les règles à suivre afin d’éviter simplement les attaques sont dispensées (masquer les URL, valider les données, contrôle d’accès, accès au SGBD…). Au final, le participant repart sensibilisé et peut mettre en œuvre simplement une vraie stratégie pour contrer les assauts les plus courants.
A propos de Valtech Training
Valtech Training est un organisme de formation spécialisé sur les nouvelles méthodes et techniques de développement logiciel. Ses formations, dont l’expertise technique est reconnue, sont basées sur une méthode pédagogique adaptée à l’apprentissage des adultes. En 2006, Valtech Training a formé 6 700 personnes et a réalisé un chiffre d’affaires de 6,4 millions d’euros (chiffres 2007 en attente de publication).
Valtech Training est une filiale à 100% de Valtech, acteur mondial sur le marché du développement logiciel de nouvelle génération. Valtech s’attache à rendre les processus et les systèmes d’information de ses clients plus agiles et plus ouverts en leur fournissant des prestations de conseil en management, de conseil en technologies, de développement applicatif et de formation. Créé en 1993, introduit au Nouveau Marché en 1999 (Euroclear 7248), Valtech compte 1 200 collaborateurs aux Etats-Unis, en Europe et en Asie, et a réalisé 106,8 millions d’euros de CA en 2007.
via Category.net