Quelles sont vos solutions en matière de sécurité applicative ?

Aujourd'hui, une application se constitue de différentes briques : son code source, ses composants Open Source, ses API, ses microservices... et bien d'autres encore. On parle fréquemment de « légolisation » des applications. Face à cette multitude d'éléments, Checkmarx fournit une solution qui permet d'analyser la sécurité unitaire de chacune de ces briques, tout en donnant une vision globale de la sécurité de l'intégralité de l'application.

Cette solution prend la forme d'une nouvelle plate-forme, baptisée AST, qui est composée de nombreux moteurs d'analyse permettant l'analyse unitaire de chaque composant applicatif. La plate-forme fait ensuite la corrélation entre tous les résultats. Cela permet non seulement de donner une vision globale de la sécurité de l'application et non plus silo par silo (sécurité du code source, sécurité des librairies OpenSource, sécurité de APIs, etc.), mais également de fournir des résultats plus pertinents et d'identifier de nouvelles vulnérabilités qu'une simple analyse par silo n'aurait pas permis de détecter. Cette corrélation des résultats est une avancée majeure dans la sécurité des applications et est aujourd'hui unique sur le marché.

En parallèle, Checkmarx met à disposition des équipes de développement une solution afin que les développeurs puissent monter en compétences et acquérir les bonnes pratiques de développement sécurisé. Notre but est de les aider à produire dès demain des applications qui soient nativement sécurisées (Security by Design). Cette solution leur permet notamment de comprendre les vulnérabilités applicatives en les contextualisant. Ils les exploitent en se mettant dans la tête d'un attaquant. Il leur est expliqué de façon didactique et ludique ce qui crée la vulnérabilité et comment la corriger. Cette solution est intégrée à la plate-forme AST, ce qui permet à un développeur, confronté à une vulnérabilité, de disposer immédiatement de l'information nécessaire lui permettant de comprendre cette dernière et d'y remédier (Just In Time Training)

Concrètement, comment votre plateforme accompagne-t-elle les entreprises ?

Elle est utilisable tout au long du cycle de développement des applications (SDLC). Une entreprise peut donc l'utiliser :

• Lorsqu'elle fait développer ses applications par des sociétés tierces à partir d'un cahier des charges. Si des exigences de sécurité y ont été spécifiées, elles doivent être vérifiées à la livraison de l'application. La plate-forme Checkmarx permet alors d'analyser l'application livrée par rapport à des référentiels et standards de sécurité, et de déterminer si ces exigences ont bien été respectées ou non ;

• Lorsqu'elle développe ses propres applications. La plate-forme Checkmarx s'intègre au plus près de l'environnement du client et du développeur afin de pouvoir industrialiser les contrôles de sécurité tout au long du cycle de développement des applications, sans demander de travail supplémentaire de la part des développeurs, si ce n'est de remédier aux vulnérabilités identifiées. L'une des idées-forces de Checkmarx est que sa plate-forme doit s'intégrer de façon transparente dans les environnements de ses clients, afin que les tests de sécurité puissent être industrialisés et automatisés et que les résultats soient fournis au travers de solutions déjà en place et utilisées, y compris par les équipes de développement.

Vous parliez d'un apprentissage fourni aux développeurs : comment se met-il en place ?

Il est bien entendu que lorsque qu'une application contient des vulnérabilités, dans son code source notamment, il n'était pas dans l'intention des développeurs de produire une application vulnérable. La présence de vulnérabilité dans le code source d'une application résulte généralement de l'absence ou de la méconnaissance des bonnes pratiques de développement sécurisé. Il faut donc parvenir à fournir aux développeurs ces bonnes pratiques, de manière contextualisée et lorsqu'ils en ont besoin, afin de produire des applications de plus en plus sécurisées. La plate-forme Checkmarx possède pour ce faire une solution baptisée Codebashing qui permet cette contextualisation des vulnérabilités qu'un développeur rencontre.

Elle va lui présenter une application fonctionnelle, développée dans le langage avec lequel il travaille et qui est vulnérable à la vulnérabilité rencontrée. Il doit alors suivre le scénario qui lui est proposé et qui lui fait d'abord exploiter la vulnérabilité de l'application mise à sa disposition afin qu'il comprenne quelle est cette vulnérabilité, quels en sont les effets et les conséquences. Le code de l'application qu'il vient de « hacker » lui est ensuite présenté et expliqué pas à pas, pour qu'il saisisse ce qui crée cette vulnérabilité. Codebashing lui montre alors comment la corriger. Chaque scénario proposé a une durée de 5 à 10 minutes.

Une fois l'exercice terminé, le développeur a ainsi toutes les cartes en main pour apporter les corrections nécessaires à son code initial. Il s'agit là d'une solution très importante, puisque nous avons noté une diminution du nombre de vulnérabilités trouvées chez nos clients qui l'utilisent en complément des moteurs de détection de notre plateforme AST. Codebashing permet aussi aux développeurs de prendre conscience que la sécurité applicative fait partie intrinsèque de leur travail.

Quelle tendance observez-vous en matière de sécurité applicative ?

De plus en plus de personnes sont convaincues que la sécurité applicative est nécessaire ! Je travaille dans le domaine de l'application security depuis 14 ans, et à l'époque, il était surtout question de sécurité périphérique (au niveau des serveurs, des réseaux et des infrastructures). Les applications étaient peu sécurisées, mais devant la recrudescence des attaques applicatives, ce sujet est devenu primordial, ne serait-ce que pour éviter le vol de données.

Je pense d'ailleurs que la Covid a accéléré cette prise de conscience en matière de sécurité pour certaines entreprises qui, jusqu'alors, sécurisaient peu ou pas les applications à usage interne et non exposées. Pour ces dernières, lors de la mise en place du télétravail et l'ouverture de leur système pour permettre le travail à distance, certaines ont malheureusement dû faire face à des attaques et des intrusions causées par des vulnérabilités applicatives.

La sécurité ne cesse d'évoluer : d'après vous, quels sont les prochains défis qui nous attendent ?

Il faut d'abord rester vigilant quant aux vulnérabilités qui sont susceptibles d'apparaître ! L'actualité nous l'a prouvé avec la découverte de la faille Log4Shell, qui permet l'exécution de code arbitraire à distance sans aucune authentification dans des applications Java utilisant le Framework Log4J. Son impact est considérable, car cette vulnérabilité menace des centaines, voire des millions d'applications dans le monde.

Face à la menace d'une telle vulnérabilité, il convient d'abord de vérifier que ses outils ne sont pas affectés, puis qu'ils savent la détecter. C'est là toute la force des équipes de recherche de Checkmarx. Si nos solutions ne trouvent pas les vulnérabilités identifiées, alors une mise à jour est effectuée et communiquée à l'ensemble de nos clients pour assurer une bonne détection.

Il y a aussi de nouveaux types d'attaques, comme les Supply Chain Attack qui sont présentes, chaque semaine, dans l'actualité et permettent d'infecter avec du code malveillant de manière exponentielle un nombre considérable d'applications. Il est absolument nécessaire de disposer d'outils performants et disruptifs pour détecter ce genre de menace au plus tôt, et c'est ce à quoi Checkmarx travaille continuellement. Les équipes de recherche Checkmarx travaillent également de façon proactive, ce qui les conduit à publier tous les ans de nouvelles failles détectées au cours de leurs différents travaux.

Mais il faut aussi se rappeler que le développement des applications n'est plus le même qu'auparavant, et il aura très probablement évolué d'ici 10 ans. Voilà pourquoi les solutions de sécurité applicative doivent s'adapter, tant sur la façon dont sont et seront réalisées les applications dans les années à venir, que sur la façon dont il faudra en détecter les vulnérabilités. La plate-forme AST de Checkmarx en est le parfait exemple, car elle sait prendre en compte non seulement la façon dont sont aujourd'hui conçues et développées les applications, mais également la façon dont elles sont mises à disposition des utilisateurs, notamment au travers des plates-formes Cloud et la configuration de ses dernières via l'Infra As Code (IaC).