RELATED
-
DIMO Gestion innove en proposant une solution dédiée à la gestion des pouvoirs bancaires
-
Connected objects: SIGFOX Deploys its Network in Russia and the Netherlands
-
Luxembourg : 1er service de poste 100% électronique fourni par Novapost à P&TLuxembourg
-
Le Groupe SanLucar réduit le délai de traitement de ses commandes clients et diminue ses coûts grâce aux solutions Esker
-
Consolidation & reporting : GFI Informatique et Clasquin armés pour l'avenir avec Amelkis Opera BPM
Le constat est simple: la multiplication des terminaux (Smartphone, tablettes, etc.) conjuguée au nombre croissant d’applications pour plates-formes mobiles, entraine de nouvelles problématiques pour les particuliers et les entreprises souhaitant protéger leurs données sensibles.
La tendance de plus en plus forte du BYOD (Bring Your Own Device) pose notamment la question de la sécurisation des données de l’entreprise et donc, de l’accès des applications mobiles au système d‘information. La problématique reste la même pour un particulier souhaitant accéder à ses comptes bancaires à tout moment : Comment protéger l’entreprise contre ces nouveaux accès vers le coeur de son système d’information tout en assurant la continuité de service ?
Chaque terminal mobile contient un nombre croissant d’information : contacts personnels, numéros de cartes de crédit, mails personnels et professionnels, etc. Compromettre l’un de ces terminaux peut ainsi permettre aux pirates informatiques d’effectuer un rebond dans l’infrastructure applicative de la banque ou de l’entreprise de son propriétaire. Une application Web mobile devient alors une porte d’entrée mal surveillée pour s’introduire au coeur d’un système d’information. Principalement basés sur le protocole HTTP, les échanges de données entre applications mobiles et applications serveurs échappent souvent à la vigilance des équipes sécurité car la nature des données échangées reste opaque et non standardisée…
Il n’existe aujourd’hui que très peu de moyens capable de vérifier que les données reçues (ou transitant) par la plate-forme mobile sont conformes à ce qui est attendu. Si l’on prend l’exemple du langage informatique XML, le protocole SOAP (permettant la transmission de messages entre objets distants) valide et vérifie les données échangées par des mécanismes standardisés. Or, dans le cadre des plates-formes mobiles, les implémentations SOAP sont plus qu’hasardeuses car le développement rapide de ces dernières prévaut sur les risques pour la plate-forme mobile.
L’exemple des applications utilisant le format de données HTML5 (conçu pour représenter les pages web) n’est guère plus probant. Ces dernières sont soumises aux mêmes problématiques que le langage XML mais sont également vulnérables aux attaques web classiques permettant le vol d’information de session (login, mot de passe) ou la redirection vers des contenus offensifs.
Matthieu Estrade, Directeur Technique de Bee Ware et spécialiste en sécurité informatique avertit les utilisateurs : « Les applications serveur, spécifiquement développées pour des besoins de mobilité (ou simplement adaptées à postériori) subissent la non standardisation des données échangées. Le risque majeur est que ces applications sont des tunnels directs entre l’application mobile et le coeur du système d’information des entreprises (bases de données, annuaires, services web, etc.) ».
Pour pallier ces failles de sécurité applicative, Bee Ware a développé la plate-forme i-Suite. Cette dernière permet d’étendre un niveau de sécurité optimal aux applications Web dialoguant avec des applications mobiles et assure ainsi une sécurité renforcée dans la validation des données échangées.
Constituée de packages fonctionnels choisis, i-Suite assure, grâce à son pare-feu applicatif, le contrôle des messages XML et JSON, permettant une inspection granulaire des données échangées ainsi qu’un contrôle de leur format.
Olivier Arous, Directeur Marketing et Business Développement de Bee Ware déclare : « Avec l’arrivée des nouveaux outils de travail, les failles de sécurité sont en forte croissance (+93% en 2011 d’après le rapport de Symantec). Il nous est donc apparu vital de proposer rapidement à nos clients une solution simple et facile à mettre en oeuvre pour protéger leur entreprise. La force de notre plate-forme est de proposer, au sein d’une solution unique, un firewall applicatif, le contrôle des accès directement transposable sur les applications mobile, des outils d’analyse de flux, et un firewall XML analysant en profondeur les messages employés par les Web Services. ».
La simplification de l’administration, grâce à une gestion 100% graphique et assistée des configurations et des politiques de sécurité, permet une gestion centralisée de l’ensemble des fonctionnalités. La plate-forme i-Suite assure ainsi à ses utilisateurs une continuité de services optimale, tout en réduisant considérablement les risques de vol de données.
Bee Ware
NDLR : BYOD est une abréviation de l’anglais « Bring your own device » (apportez vos propre terminaux). Cette pratique consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel. Cette nouvelle tendance pose avant tout des questions sociales, juridiques et sur la sécurité de l’information. (Wikipédia)
La tendance de plus en plus forte du BYOD (Bring Your Own Device) pose notamment la question de la sécurisation des données de l’entreprise et donc, de l’accès des applications mobiles au système d‘information. La problématique reste la même pour un particulier souhaitant accéder à ses comptes bancaires à tout moment : Comment protéger l’entreprise contre ces nouveaux accès vers le coeur de son système d’information tout en assurant la continuité de service ?
Chaque terminal mobile contient un nombre croissant d’information : contacts personnels, numéros de cartes de crédit, mails personnels et professionnels, etc. Compromettre l’un de ces terminaux peut ainsi permettre aux pirates informatiques d’effectuer un rebond dans l’infrastructure applicative de la banque ou de l’entreprise de son propriétaire. Une application Web mobile devient alors une porte d’entrée mal surveillée pour s’introduire au coeur d’un système d’information. Principalement basés sur le protocole HTTP, les échanges de données entre applications mobiles et applications serveurs échappent souvent à la vigilance des équipes sécurité car la nature des données échangées reste opaque et non standardisée…
Il n’existe aujourd’hui que très peu de moyens capable de vérifier que les données reçues (ou transitant) par la plate-forme mobile sont conformes à ce qui est attendu. Si l’on prend l’exemple du langage informatique XML, le protocole SOAP (permettant la transmission de messages entre objets distants) valide et vérifie les données échangées par des mécanismes standardisés. Or, dans le cadre des plates-formes mobiles, les implémentations SOAP sont plus qu’hasardeuses car le développement rapide de ces dernières prévaut sur les risques pour la plate-forme mobile.
L’exemple des applications utilisant le format de données HTML5 (conçu pour représenter les pages web) n’est guère plus probant. Ces dernières sont soumises aux mêmes problématiques que le langage XML mais sont également vulnérables aux attaques web classiques permettant le vol d’information de session (login, mot de passe) ou la redirection vers des contenus offensifs.
Matthieu Estrade, Directeur Technique de Bee Ware et spécialiste en sécurité informatique avertit les utilisateurs : « Les applications serveur, spécifiquement développées pour des besoins de mobilité (ou simplement adaptées à postériori) subissent la non standardisation des données échangées. Le risque majeur est que ces applications sont des tunnels directs entre l’application mobile et le coeur du système d’information des entreprises (bases de données, annuaires, services web, etc.) ».
Pour pallier ces failles de sécurité applicative, Bee Ware a développé la plate-forme i-Suite. Cette dernière permet d’étendre un niveau de sécurité optimal aux applications Web dialoguant avec des applications mobiles et assure ainsi une sécurité renforcée dans la validation des données échangées.
Constituée de packages fonctionnels choisis, i-Suite assure, grâce à son pare-feu applicatif, le contrôle des messages XML et JSON, permettant une inspection granulaire des données échangées ainsi qu’un contrôle de leur format.
Olivier Arous, Directeur Marketing et Business Développement de Bee Ware déclare : « Avec l’arrivée des nouveaux outils de travail, les failles de sécurité sont en forte croissance (+93% en 2011 d’après le rapport de Symantec). Il nous est donc apparu vital de proposer rapidement à nos clients une solution simple et facile à mettre en oeuvre pour protéger leur entreprise. La force de notre plate-forme est de proposer, au sein d’une solution unique, un firewall applicatif, le contrôle des accès directement transposable sur les applications mobile, des outils d’analyse de flux, et un firewall XML analysant en profondeur les messages employés par les Web Services. ».
La simplification de l’administration, grâce à une gestion 100% graphique et assistée des configurations et des politiques de sécurité, permet une gestion centralisée de l’ensemble des fonctionnalités. La plate-forme i-Suite assure ainsi à ses utilisateurs une continuité de services optimale, tout en réduisant considérablement les risques de vol de données.
Bee Ware
NDLR : BYOD est une abréviation de l’anglais « Bring your own device » (apportez vos propre terminaux). Cette pratique consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel. Cette nouvelle tendance pose avant tout des questions sociales, juridiques et sur la sécurité de l’information. (Wikipédia)
