L’autoprotection des applications à l’exécution (RASP) est une expression créée par Gartner il y a plus de 10 ans pour décrire ce qui n’était alors qu’une technologie émergente intégrant une fonctionnalité de sécurité dans les applications logicielles.
Contrairement aux solutions de sécurité traditionnelles, qui offrent une protection au niveau du réseau ou des endpoints, une solution RASP est centrée sur l’application elle-même. Elle utilise des capteurs intégrés au logiciel et des informations contextuelles pour surveiller l’application pendant son exécution, résoudre des vulnérabilités spécifiques présentes au sein de chaque composant logiciel et bloquer les menaces de manière automatique et en temps réel.
Pourquoi est-il important de disposer d’une solution RASP ?
Ces dernières années, les applications sont devenues un vecteur d’attaque efficace et lucratif pour les cybercriminels et les cyberpirates, qui peuvent exploiter les vulnérabilités des applications, ainsi que les erreurs humaines, comme les erreurs de configuration ou les ports ouverts.
Bien que des mesures traditionnelles de sécurité du réseau et des infrastructures telles qu’un pare-feu d’application web (WAF, Web Application Firewall) ou un système de prévention des intrusions soient souvent utilisées pour surveiller le trafic réseau et les sessions des utilisateurs afin de détecter les activités suspectes, ces outils ne surveillent pas le trafic et les données au sein de l’application, laissant les entreprises vulnérables aux attaques ciblant les applications.
Une solution RASP intègre la sécurité directement dans l’application, permettant ainsi à l’entreprise de collecter en temps réel les données de l’application et de les évaluer dans le contexte de cette application. Comme elle est spécifique à chaque application et à l’utilisation qui en est faite, la solution RASP offre un niveau de précision et de proactivité sans égal par rapport aux outils et solutions d’ancienne génération.
RASP et sécurité du cloud
Une solution RASP constitue un élément essentiel de la stratégie de sécurité du cloud et plus particulièrement de la sécurité des applications cloud.
Face à des entreprises qui recourent de plus en plus au cloud pour faire avancer leurs projets de transformation numérique, qui élaborent de nouveaux modèles métier et qui permettent à leurs collaborateurs de travailler à distance, il est essentiel de s’assurer que toutes les activités menées dans un environnement cloud ou hybride sont sécurisées.
Les mesures de sécurité traditionnelles ne sont pas armées pour assurer la protection dans le cloud, ce qui signifie que les entreprises doivent élaborer une nouvelle stratégie et adopter de nouveaux outils, notamment des règles au niveau des applications, des outils, des technologies et des instructions — avec la RASP en tête de liste — afin de conserver une visibilité sur l’ensemble des ressources cloud, de protéger les applications cloud contre les cyberattaques et de limiter l’accès aux seuls utilisateurs autorisés.
Fonctionnement d’une solution RASP
Un outil RASP intègre deux fonctionnalités principales :
- Protection de l’application : détection et blocage des vulnérabilités de sécurité et des activités malveillantes au sein de l’application pendant son exécution
- Cyberveille : visibilité approfondie au niveau du code de l’application et mise à disposition d’informations destinées à aider l’équipe de sécurité à comprendre qui attaque l’entreprise, les méthodes utilisées et les objectifs poursuivis
La technologie RASP s’appuie sur les principes de l’ingénierie logicielle moderne pour assurer la protection et fournir une cyberveille au niveau de l’application. Pour ce faire, elle installe des capteurs au sein de la base de code afin de surveiller et de contrôler l’exécution de l’application. Ces capteurs offrent une visibilité complète sur l’architecture de l’application et sur son flux d’exécution.
Les outils RASP combinent ensuite les données fournies par ces capteurs avec des informations contextuelles, telles que le code, la logique de l’application, les paramètres et la configuration, les données d’exécution et le flux de contrôle, ainsi qu’avec plusieurs autres sources afin de permettre à la solution d’identifier les activités à haut risque ou les compromissions actives et, par extension, de prendre des décisions précises et rapides pour limiter les conséquences de ces événements.
RASP et WAF, quelle différence ?
Les solutions RASP et les pare-feux d’application web (WAF, Web Application Firewall) poursuivent le même objectif : protéger les applications du réseau contre les cyberattaques et les compromissions de données. Ces deux outils recourent toutefois à des techniques différentes pour ce faire et n’ont pas les mêmes limites.
Un pare-feu d’application web est un dispositif de sécurité conçu pour protéger les entreprises au niveau des applications en filtrant, en contrôlant et en analysant le trafic HTTP (Hypertext Transfer Protocol) et HTTPS (Hypertext Transfer Protocol Secure) entre les applications web et Internet. Il est chargé de bloquer les menaces avant qu’elles n’atteignent l’application. Cependant, comme il s’agit d’un outil périmétrique, le WAF n’est pas en mesure de surveiller l’activité au sein de l’application, laissant ainsi la porte ouverte aux cyberattaquants qui ont réussi à contourner le pare-feu et qui peuvent alors utiliser l’application pour mener à bien leur attaque.
C’est ici que la solution RASP entre en jeu. Elle utilise les données de l’application et les informations contextuelles pour bloquer les attaques qui ont réussi à contourner le WAF ou les autres outils de sécurité préventifs.
Dans un contexte où le périmètre de chaque entreprise se révèle de plus en plus poreux en raison de la migration vers le cloud et de la prolifération des terminaux mobiles, l’efficacité des pare-feux universels et des pare-feux d’application web a diminué. Cette limite souligne l’importance de mettre en place une stratégie de sécurité complète intégrant la protection de toutes les ressources cloud, y compris des applications. Les outils WAF et RASP sont deux composantes majeures de toute stratégie de cybersécurité complète.
Avantages des solutions RASP
Une solution de sécurité RASP propose une protection automatisée en temps réel au niveau de l’application. Elle offre de nombreux avantages à l’entreprise, notamment :
Prévention des attaques au niveau de l’application : l’autoprotection des applications à l’exécution est avant tout une fonctionnalité critique de protection des entreprises contre les attaques au niveau de l’application. Voici quelques exemples de cyberattaques au niveau de l’application :
- Attaque zero day : cyberattaque qui exploite une vulnérabilité de sécurité ou une faille logicielle inconnue avant que le développeur du logiciel n’ait eu le temps de publier un correctif.
- Script intersite (XSS) : attaque par injection de code, dans le cadre de laquelle un cyberadversaire insère un code malveillant dans un site web légitime. Le code s’exécute ensuite sous la forme d’un script infecté dans le navigateur web de l’utilisateur, permettant ainsi au cyberattaquant de voler des informations sensibles ou d’usurper l’identité de l’utilisateur.
- Injection SQL : attaque similaire à une attaque XSS dans le sens où les cyberadversaires exploitent une vulnérabilité connue pour injecter des instructions SQL malveillantes dans une application, ce qui leur permet ensuite d’extraire, de modifier ou de supprimer des informations.
- Attaque DoS (attaque par déni de service) et DDoS (attaque par déni de service distribué) : attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités métier.
Optimisation des ressources : les outils RASP automatisent la surveillance de routine des applications et l’intervention sur incident, offrant ainsi aux équipes informatiques la possibilité de consacrer leurs ressources limitées à des tâches nécessitant une intervention humaine. Par ailleurs, comme la solution RASP utilise des données provenant de l’application, elle offre un niveau de sécurité nettement supérieur à celui des outils traditionnels, ce qui réduit le nombre d’alertes et de faux positifs que les équipes informatiques devront examiner et résoudre manuellement.
Protection des données : les données stockées dans une application dotée de l’autoprotection des applications à l’exécution sont protégées même en cas de compromission de l’application. Cela signifie que les cybercriminels qui parviennent à accéder à l’application et à exfiltrer des données ne pourront pas consulter ou utiliser ces informations, car elles sont autoprotégées.
Protection continue : la solution RASP assure la protection au niveau du code, ce qui signifie que les applications sont autoprotégées et le restent indépendamment de l’environnement dans lequel elles sont déployées, que ce soit dans le cloud, sur site ou dans un environnement cloud hybride. Les outils RASP ne nécessitent pas d’être modernisés, même en cas de mise à jour ou de redéploiement des applications dans un nouvel environnement. Les entreprises bénéficient ainsi d’une protection permanente demandant peu de suivi et de maintenance après déploiement.
Soutien aux équipes DevOps : comme de plus en plus d’entreprises recourent au processus de développement logiciel (DevOps), il peut arriver que les équipes négligent par inadvertance les tests de sécurité des applications lors des phases de développement et de production. La solution RASP fournit aux développeurs un contexte précieux sur les vulnérabilités présentes dans le code d’une application et sur la manière dont celui-ci est exploité. Ces informations contextuelles peuvent être utilisées par les équipes DevOps pour identifier les éléments du code de l’application qui gagneraient à être renforcés pour réduire les risques de sécurité et soutenir les tests interactifs de sécurité des applications.
RAPPORT 2022 SUR LES MENACES CIBLANT LE CLOUD
Téléchargez ce nouveau rapport pour découvrir les principales menaces pour la sécurité du cloud à surveiller en 2022 et comment les neutraliser.
TéléchargerProtection des applications à l’aide d’une solution de protection des workloads cloud
Les solutions CrowdStrike de sécurité du cloud permettent aux entreprises de développer, d’exécuter et de sécuriser des applications cloud native de manière rapide et en toute confiance. Avec Falcon Cloud Workload Protection, les entreprises bénéficient d’une protection complète contre les compromissions pour l’ensemble de leur architecture cloud native sur n’importe quel cloud, au niveau de tous les workloads, conteneurs et applications Kubernetes.
La solution CWP de CrowdStrike protège les entreprises et leur permet d’automatiser la surveillance et la détection afin de bloquer les activités malveillantes, les attaques zero day et les comportements à risque, de façon à garder une longueur d’avance sur les menaces et à réduire la surface d’attaque. Ses fonctionnalités principales sont les suivantes :
Visibilité totale
Falcon Cloud Workload Protection offre une visibilité complète sur les événements liés aux workloads et conteneurs ainsi que sur les métadonnées des instances, permettant ainsi une détection, une intervention, un Threat Hunting et une investigation plus rapides et plus précis garantissant qu’aucune activité ne passe inaperçue dans votre environnement cloud.
Prévention des attaques
Notre solution CWP permet également aux entreprises d’automatiser la surveillance et la détection afin de bloquer les activités suspectes, les attaques zero day et les comportements à risque, de garder une longueur d’avance sur les menaces et de réduire la surface d’attaque.
Performances rapides et sécurisées
Les principales intégrations de Falcon CWP prennent en charge les flux de travail d’intégration/distribution continues (CI/CD) pour permettre aux entreprises de sécuriser les workloads à la vitesse requise par les tâches DevOps, sans sacrifier les performances.
Pour en savoir plus sur Falcon Cloud Workload Protection, téléchargez notre présentation de solution ou consultez la page produit.