Documentation

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Les clients doivent aider les ASP à sécuriser leur plate-forme


Edition du 24/09/2008 - par Jean Claude Streicher

De plus en plus de processus métiers basculent en service ASP ou en mode SaaS via internet. Mais le client doit s'assurer lui-même de la bonne sécurisation des accès gérés par le fournisseur.

Le mode ASP, explique Yann Allain, consultant en sécurité des systèmes d'information pour la société Opale Security, ne pose pas seulement un problème de propriété des données, mais aussi de sécurisation des accès. Il s'exprimait lors du forum Eurosec du 17 septembre 2008, organisé par Devoteam.

Les risques d'attaques par rebond via le navigateur ne sont pas à négliger. Elles permettent de voir et de modifier les données des autres clients, en dépit des compartimentations. Qui est alors responsable du préjudice ? Le contrat l'a-t-il prévu ? Dans de tels cas, observe le consultant, c'est toujours le client qui pâtit d'une perte d'image, jamais l'opérateur.

Le mode ASP apporte de l'autonomie vis-à-vis de la DSI. Il donne une vision précise des coûts, mais entraîne de nouvelles contraintes. Il oblige le client à vérifier la sécurité de son fournisseur. Ses accès ASP, en effet, ne doivent pas être moins protégés que ses accès internes.

Comment s'en assurer ? Plusieurs approches sont possibles. Selon le consultant, demander une certification Iso 27001 ne donnera qu'un indicateur, pas une garantie en soi. Mieux vaut faire soi-même des audits et lancer des tests d'intrusion, y compris sur les applications secondaires du fournisseur.

Mais ceux-ci n'apprendront rien sur les bonnes pratiques appliquées par l'ASP. A la suite des tests d'intrusion, Yann Allain conseille donc également d'envoyer des questionnaires et de vérifier sur place les réponses qui leur auront été données. Tous les risques doivent être maîtrisés pour les applications critiques. Or la sécurisation des couches applicatives est généralement mal faite. Il faut donc pas hésiter à discuter avec le responsable de la sécurité du prestataire. Celui-ci doit pouvoir prouver qu'il est conforme à la politique de sécurité de chacun de ses clients.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
La Croix-Rouge française externalise la luttre contre le spam

La Croix-Rouge française a sécurisé les 16 000 boîtes aux lettres électroniques de (...)

Faille de sécurité sur voyages-SNCF.com révélée par le Canard enchaîné

C'est le plus grand site de commerce électronique de France. Le Canard Enchaîné révèle (...)

Se prémunir contre les risques juridiques découlant du Saas

Le Saas (Software as a service) décolle. Or, une entreprise doit verrouiller son (...)

Un bug de 10 minutes à la SNCF a créé la confusion

Le mardi 16 mars, la SNCF a dû démentir les informations relatives à un accident (...)

Orange et la Française des Jeux s'associent dans les paris sur le Web

A l'heure de l'ouverture à la concurrence du marché des jeux d'argent et de hasard (...)

CertEurope délivre son 150 000ème certificat électronique sur clé USB

CertEurope profite de l'annonce de son 150 000ème certificat délivré sur clé USB (...)

Le Centre Scientifique et Technique du Bâtiment protège ses données sensibles

Afin de protéger ses données sensibles, le CSTB a déployé des appliances de sécurité (...)
Recherche
Sondage flash
En ayant virtualisé vos serveurs, le retour sur investissement

Conférences
23/03/2010
CLOUD COMPUTING
De 8h30 - 14h00 à l'Automobile Club de France - Paris 8e
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du mardi 23 mars 2010 au mardi 23 mars 2010
Printemps 2010 de l'USF
Salon Eurosites George V 28, avenue George V - 75008 Paris
en savoir plus
agendatout
l'agenda