CIS Control 16: Sécurité des logiciels d’application

Les environnements informatiques modernes incluent généralement une large gamme d'applications : logiciels développés en interne, plateformes logicielles hébergées, outils open-source et solutions achetées. Étant donné que ces applications accèdent à des systèmes sensibles, des données et d'autres actifs informatiques, les cybercriminels sont impatients de les exploiter lors d'attaques.

Le CIS Control 16 propose des contrôles de sécurité des logiciels d'application pour renforcer la posture de sécurité de votre organisation. Ce billet de blog explique comment la mise en œuvre de ces CIS controls peut vous aider à réduire le risque d'erreurs de codage, d'authentification faible, de conception non sécurisée, d'infrastructure non sécurisée et d'autres vulnérabilités que les attaquants utilisent pour accéder à des données sensibles et à des systèmes.

Notez qu'avant la CIS Contrôles de Sécurité Critiques Version 8, le sujet de la sécurisation des applications était traité par le CIS Control 18.

16.1. Établir et maintenir un processus de développement d'application sécurisé

La première étape consiste à établir un processus de développement d'applications sécurisé qui traite des pratiques de codage sécurisé, des normes et procédures de conception d'applications sécurisées, et de la sécurité du code tiers. Assurez-vous également de fournir une formation sur ce processus à tous les intervenants dans le cycle de vie de l'application, y compris les équipes de développement et les groupes de mise en œuvre. L'objectif est de créer une culture de sensibilisation à la cybersécurité dans laquelle chacun comprend vos pratiques de sécurité et travaille activement à minimiser votre exposition aux risques.

Cette approche améliorera également la conformité de votre organisation aux réglementations sectorielles, aux mandats légaux et aux exigences de gouvernance interne.

16.2. Établir et maintenir un processus pour accepter et traiter les vulnérabilités logicielles

Vous avez également besoin d'un processus de gestion des vulnérabilités robuste pour accepter et traiter les vulnérabilités logicielles. Effectuez régulièrement une évaluation des risques pour découvrir les lacunes dans la sécurité de votre réseau et créez des processus qui facilitent la soumission de problèmes de sécurité par les membres de l'équipe lorsqu'ils sont découverts, y compris pendant la réponse aux incidents.

Assurez-vous d'attribuer un rôle responsable de la gestion des rapports de vulnérabilité et du suivi du processus de remédiation, et envisagez d'investir dans un système de suivi des vulnérabilités.

16.3. Réalisez une analyse de cause première sur les vulnérabilités de sécurité

Pour atténuer une vulnérabilité de sécurité, il est essentiel de comprendre les problèmes sous-jacents grâce à une analyse des causes profondes. En plus de vous aider à traiter des vulnérabilités spécifiques, l'analyse des causes profondes vous aide également à définir des bases de configuration sécurisées qui renforcent votre posture de sécurité et de conformité.

16.4. Établir et gérer un inventaire des composants logiciels tiers

Créez un inventaire des composants logiciels tiers, y compris ceux que votre équipe utilise pendant le développement et ceux prévus pour une utilisation future. Considérez et documentez les risques que ces composants logiciels représentent pour vos applications, et gardez votre inventaire correctement géré en identifiant et enregistrant tout changement ou mise à jour.

16.5. Utilisez des composants logiciels tiers à jour et fiables

Utilisez des logiciels et des bibliothèques établis et éprouvés dans la mesure du possible. Trouvez des sources fiables pour ces composants et évaluez le logiciel pour d'éventuelles vulnérabilités avant utilisation.

Assurez-vous que tous les composants logiciels tiers bénéficient d'un support continu de la part des développeurs ; désactivez ou supprimez ceux qui n'en bénéficient pas. L'utilisation d'actifs logiciels qui continuent de recevoir des mises à jour de sécurité aide à minimiser votre exposition aux risques. Assurez-vous d'utiliser uniquement des sources fiables et vérifiées pour ces mises à jour. Bien sûr, vous devez vous assurer d'installer les mises à jour en temps opportun pour maintenir l'intégrité de vos systèmes et appareils.

16.6. Établir et maintenir un système de cotation de la gravité et un processus pour les vulnérabilités des applications

Évaluer la gravité des vulnérabilités des applications vous aide à prioriser la remédiation des risques. Conseil professionnel : Lors de la conception de votre système de notation, assurez-vous d'inclure l'importance de l'application et de la vulnérabilité pour vos processus commerciaux. Envisagez également d'établir un niveau d'acceptabilité de sécurité minimum pour vos applications.

16.7. Utilisez des modèles de configuration de durcissement standard pour l'infrastructure d'application

L'utilisation de modèles recommandés par l'industrie pour configurer vos serveurs, bases de données et composants SaaS et PaaS vous aide à garantir des configurations sécurisées qui atténuent les vulnérabilités et améliorent l'hygiène cybernétique.

16.8. Séparez les systèmes de production et non-production

Créez et maintenez des environnements séparés pour vos systèmes de production et les systèmes non productifs utilisés pour le développement et les tests. Surveillez toutes les interactions avec vos environnements de production afin d'empêcher le personnel non autorisé d'y accéder.

En plus de la surveillance des activités, protégez vos environnements informatiques avec une gestion efficace des comptes. Accordez aux comptes utilisateurs uniquement les permissions nécessaires et minimisez les privilèges administratifs. Des mesures supplémentaires de protection des données peuvent être mises en œuvre dans les environnements Active Directory en utilisant Group Policy.

16.9. Former les développeurs aux concepts de sécurité des applications et à la programmation sécurisée

Vos développeurs ont besoin de formation pour écrire du code sécurisé. Les sessions de formation sont plus efficaces lorsqu'elles sont adaptées aux environnements spécifiques et aux responsabilités du groupe. La formation devrait inclure les pratiques standard de sécurité des applications et les principes généraux de sécurité, et chercher à sensibiliser à la sécurité. L'Institut SANS est une excellente ressource pour apprendre la sécurité de l'information et la cybersécurité.

Investir dans l'écriture de code sécurisé peut vous faire économiser de l'argent en réduisant l'effort nécessaire pour la détection et la remédiation des vulnérabilités.

16.10. Appliquez des principes de conception sécurisée dans les architectures d'application

Les principes de conception sécurisée incluent la directive de « ne jamais faire confiance aux entrées des utilisateurs », ce qui implique de valider toutes les opérations des utilisateurs et de procéder à une vérification explicite des erreurs.

La conception sécurisée implique également de minimiser la surface d'attaque de l'infrastructure de votre application. Par exemple, vos équipes peuvent supprimer les programmes inutiles, renommer ou supprimer les comptes par défaut, et désactiver les services et ports non protégés.

16.11. Utilisez des modules ou services éprouvés pour les composants de sécurité des applications

Des modules ou services approuvés pour les composants de sécurité des applications sont disponibles pour Identity Management, le chiffrement, l'audit et la journalisation. Leur utilisation peut réduire les erreurs de mise en œuvre et de conception et minimiser la charge de travail des développeurs.

Par exemple, l'utilisation de systèmes d'exploitation modernes aide à garantir une identification, une authentification et une autorisation efficaces des applications, ainsi que la création de journaux d'audit sécurisés. L'utilisation exclusive d'algorithmes de chiffrement standard qui ont été largement examinés réduit le risque de failles susceptibles de compromettre vos systèmes.

16.12. Implémentez des contrôles de sécurité au niveau du code

Exploitez des outils d'analyse statique et dynamique pour vous aider à garantir que vos développeurs suivent des pratiques de codage sécurisées en testant les erreurs. Recherchez les outils disponibles pour trouver ceux qui seront efficaces pour votre code.

16.13. Réaliser des tests de pénétration d'applications

Les tests de pénétration peuvent vous aider à découvrir des vulnérabilités dans vos applications qui peuvent être manquées lors des revues de code et des analyses de code automatisées. L'objectif des tests dans ce composant du CIS CSC 16 est d'identifier les faiblesses, y compris les lacunes de sécurité Internet, et d'évaluer la résilience de la cybersécurité de votre environnement d'application et les mécanismes de défense.

Gardez à l'esprit que l'efficacité des tests d'intrusion dépend des compétences du testeur.

16.14. Réaliser une modélisation des menaces

Dans la modélisation des menaces, des développeurs spécialement formés évaluent la conception d'une application en se concentrant sur les risques de sécurité à travers chaque niveau d'accès ou point d'entrée, avant le début du codage. Cartographier vos applications, architectures et infrastructures de manière structurée vous aide à mieux comprendre les faiblesses afin que vous puissiez améliorer vos défenses cybernétiques et protéger vos données contre l'accès non autorisé, le vol ou la destruction.