Documentation

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Les clients doivent aider les ASP à sécuriser leur plate-forme


Edition du 24/09/2008 - par Jean Claude Streicher

De plus en plus de processus métiers basculent en service ASP ou en mode SaaS via internet. Mais le client doit s'assurer lui-même de la bonne sécurisation des accès gérés par le fournisseur.

Le mode ASP, explique Yann Allain, consultant en sécurité des systèmes d'information pour la société Opale Security, ne pose pas seulement un problème de propriété des données, mais aussi de sécurisation des accès. Il s'exprimait lors du forum Eurosec du 17 septembre 2008, organisé par Devoteam.

Les risques d'attaques par rebond via le navigateur ne sont pas à négliger. Elles permettent de voir et de modifier les données des autres clients, en dépit des compartimentations. Qui est alors responsable du préjudice ? Le contrat l'a-t-il prévu ? Dans de tels cas, observe le consultant, c'est toujours le client qui pâtit d'une perte d'image, jamais l'opérateur.

Le mode ASP apporte de l'autonomie vis-à-vis de la DSI. Il donne une vision précise des coûts, mais entraîne de nouvelles contraintes. Il oblige le client à vérifier la sécurité de son fournisseur. Ses accès ASP, en effet, ne doivent pas être moins protégés que ses accès internes.

Comment s'en assurer ? Plusieurs approches sont possibles. Selon le consultant, demander une certification Iso 27001 ne donnera qu'un indicateur, pas une garantie en soi. Mieux vaut faire soi-même des audits et lancer des tests d'intrusion, y compris sur les applications secondaires du fournisseur.

Mais ceux-ci n'apprendront rien sur les bonnes pratiques appliquées par l'ASP. A la suite des tests d'intrusion, Yann Allain conseille donc également d'envoyer des questionnaires et de vérifier sur place les réponses qui leur auront été données. Tous les risques doivent être maîtrisés pour les applications critiques. Or la sécurisation des couches applicatives est généralement mal faite. Il faut donc pas hésiter à discuter avec le responsable de la sécurité du prestataire. Celui-ci doit pouvoir prouver qu'il est conforme à la politique de sécurité de chacun de ses clients.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Les informaticiens français champions de la violation des règles de sécurité

C'est l'inadaptation des politiques de sécurité mises en place par les entreprises (...)

Première mondiale : le premier acte notarié dématérialisé vient d'être signé en France

Cocorico : c'est en présence de deux ministres, Rachida Dati et Eric Besson, que (...)

Le Sénat remanie la riposte graduée à son idée

Le projet de loi dit Création et Internet pourrait être sensiblement modifié par (...)

Les mesures de la loi contre le téléchargement illégal

Le projet de loi Création et Internet, dit Hadopi, sera examiné à partir de mercredi (...)

Retard sur la délivrance des premiers passeports biométriques

La mise en production des premiers passeports biométriques devait être effective (...)

ICC 2008 : Les DSI fournisseurs d'intelligence économique

Les rencontres Innovation Compétitivité et Connaissance 2008 (ICC 2008) sont centrées (...)

Printemps.com agrège les sites partenaires à son éco-système de paiement privé

Les sites partenaires du site de commerce Printemps.com sont modifiés à la volée (...)
Recherche
Sondage flash
Communications unifiées : l'offre à voir en priorité est celle de
Agenda
Du mercredi 26 novembre 2008 au mercredi 26 novembre 2008
La sécurité, une opportunité pour la compétitivité
Mercredi 26 Novembre 2008 de 9h00 à 17h00, Auditorium AGF 87 rue de Richelieu, 75 0002 Paris Frais d'inscription : 100 euros pour les adhérents CDSE, 250 euros pour les non adhérents Contact : Olivier Hassid, 01 44 70 70 84, contact@cdse.fr
en savoir plus
agendatout
l'agenda