Documentation

Inscrivez-vous

Les clients doivent aider les ASP à sécuriser leur plate-forme

Edition du 24/09/2008 - par Jean Claude Streicher

De plus en plus de processus métiers basculent en service ASP ou en mode SaaS via internet. Mais le client doit s'assurer lui-même de la bonne sécurisation des accès gérés par le fournisseur.

Le mode ASP, explique Yann Allain, consultant en sécurité des systèmes d'information pour la société Opale Security, ne pose pas seulement un problème de propriété des données, mais aussi de sécurisation des accès. Il s'exprimait lors du forum Eurosec du 17 septembre 2008, organisé par Devoteam.

Les risques d'attaques par rebond via le navigateur ne sont pas à négliger. Elles permettent de voir et de modifier les données des autres clients, en dépit des compartimentations. Qui est alors responsable du préjudice ? Le contrat l'a-t-il prévu ? Dans de tels cas, observe le consultant, c'est toujours le client qui pâtit d'une perte d'image, jamais l'opérateur.

Le mode ASP apporte de l'autonomie vis-à-vis de la DSI. Il donne une vision précise des coûts, mais entraîne de nouvelles contraintes. Il oblige le client à vérifier la sécurité de son fournisseur. Ses accès ASP, en effet, ne doivent pas être moins protégés que ses accès internes.

Comment s'en assurer ? Plusieurs approches sont possibles. Selon le consultant, demander une certification Iso 27001 ne donnera qu'un indicateur, pas une garantie en soi. Mieux vaut faire soi-même des audits et lancer des tests d'intrusion, y compris sur les applications secondaires du fournisseur.

Mais ceux-ci n'apprendront rien sur les bonnes pratiques appliquées par l'ASP. A la suite des tests d'intrusion, Yann Allain conseille donc également d'envoyer des questionnaires et de vérifier sur place les réponses qui leur auront été données. Tous les risques doivent être maîtrisés pour les applications critiques. Or la sécurisation des couches applicatives est généralement mal faite. Il faut donc pas hésiter à discuter avec le responsable de la sécurité du prestataire. Celui-ci doit pouvoir prouver qu'il est conforme à la politique de sécurité de chacun de ses clients.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

SQL-Server : une nouvelle faille signalée par Microsoft

Hier soir, 22 décembre, Microsoft a indiqué qu'une faille pouvait être exploitée (...)

Selon Aberdeen, la principale vulnérabilité vient des bases de données de l'entreprise

Alors que le périmètre extérieur des réseaux d'entreprises a été considérablement (...)

Une banque russe déploie 20 000 cartes à puce sur des tokens USB afin de sécuriser ses services en ligne

Alfa-Bank opère dans tous les secteurs de la finance, notamment les prêts, les dépôts, (...)

Le groupe laitier Sodiaal dématérialise les factures papier pour les faire circuler

Candia et Sodiaal International ont eu recours aux solutions ReadSoft pour dématérialiser (...)

Cisco signale une dégradation inquiétante de la sécurité des systèmes

Pire que dans les pires scénarios. C'est en substance le constat que Cisco délivre (...)

La lutte contre la fuite d'information manque de maturité

Les outils de DLP (Data Loss Prevention) visent à empêcher la fuite d'informations (...)

Le service courrier de La Poste disponible en ligne

La Poste lance son bureau de poste virtuel via son site Internet. Il qui permet aux (...)

Articles récents

Documentation

Les standards de sécurité PCI 1.2 sur les cartes bancaires adoptés

(08/10/2) - Le nouveau cadre PCI 1.2 clarifie les dispositifs à déployer pour protéger les porteurs (...)

La biométrie mise sur l'iris, les veines et la reconnaissance faciale

(28/09/2) - La biométrie a du mal à percer. Les fournisseurs ne manquent pourtant pas d'inventivité. (...)

Les clients doivent aider les ASP à sécuriser leur plate-forme

(24/09/2) - De plus en plus de processus métiers basculent en service ASP ou en mode SaaS via (...)

La vidéo surveillance en phase de démarrage en France

(24/09/2) - En France, la vidéo surveillance prend de l'ampleur. Elle reste cependant loin des (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Alertes

Toutes les alertes

SQL-Server : une nouvelle faille signalée par Microsoft

(23/12/2) - Hier soir, 22 décembre, Microsoft a indiqué qu'une faille pouvait être exploitée (...)

Facebook attaqué par le virus Koobface

(05/12/2) - Un virus, baptisé ''Koobface'', menace potentiellement les 120 millions d'utilisateurs (...)

Le FBI avertit de nouvelles attaques du vers Storm

(30/07/2) - Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Actualités RT

Windows Seven : la version bêta laisse entrevoir une commercialisation fin 2009

(06/01/2) - Alors que la version bêta de Windows Seven devrait officiellement être lancée à la (...)

Linux : un nouveau Kernel gère mieux les ressources matérielles

(06/01/2) - Avec l'arrivée de la version 2.6.28 du kernel de Linux pour Noël, les linuxiens ont (...)

La croissance du Web s'est tassée en 2008

(06/01/2) - La Toile continue de grandir. Selon la société britannique Netcraft spécialisée dans (...)

LIVRES BLANCS

	> 24 décembre 2008 - ISO 20022/UNIFI : La bonne réponse... Mais quelle était la question ? Ce document retrace l'origine et l'histoire (déjà mouvementée) d'une norme en train de devenir incontournable dans les échanges financiers : ISO20022/UNIFI (UNIversal Financial Industry). Ce standard fournit en effet une plateforme unifiée et facilite les échanges dans une syntaxe XML qui s'impose aujourd'hui de facto.

	> 16 décembre 2008 - L'entreprise sociale : Utiliser les applications "Entreprise 2.0" pour décupler la productivité des travailleurs du savoir A première vue, les logiciels sociaux représentent un exemple invraisemblable de collaboration d'entreprise. Les réseaux sociaux expriment-ils un phénomène de mode ? Quel peut être le rôle d'un échange de photos ou d'une conversation en ligne avec des collègues dans la réalisation d'une tâche ?

	> 16 décembre 2008 - Le Web 2.0 pour l'entreprise : Les bases de la réussite Les entreprises traditionnelles dans leur façon de faire face aux défis ont tendance à négliger une ressource précieuse : leurs employés. Les technologies collaboratives Web 2.0 permettent aux entreprises d'encourager l'esprit critique et la créativité des employés tout en offrant une plate-forme permettant de tirer parti de leurs innovations pour améliorer produits et processus.

	> 1 décembre 2008 - Comment résoudre les deux problèmes clés liés à la Virtualisation Des environnements virtualisés accélérés. Téléchargez ce livre blanc et découvrez comment les services d'optimisation de réseau étendue (WAN) contribuent aux bénéfices de la virtualisation et de la consolidation informatique, tout en traitant les problèmes de performances et de disponibilité

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Copyright © Réseaux et Télécoms 2003-2009
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site, faite sans l'autorisation de l'éditeur ou du webmaster de Réseaux et Télécoms est illicite et constitue une contrefaçon. IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.

	A propos	Contacts

Les sites d'IT News Info : Actualité du monde IT -Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Magazine Masculin - Actualité high tech et usage du numérique