Valtech Training, organisme de formation spécialisé sur les nouvelles méthodes et techniques de développement logiciel, annonce la sortie d’une formation consacrée à la sensibilisation au risque de Hacking des applications Web. La première animation interentreprises, déjà presque complète, se tenait le 20 mars à Paris la Défense puis par après à Toulouse et Genève.
Sécuriser le réseau est loin d’être suffisant
Selon Xavier Paradon, Directeur Technique de Valtech Training et concepteur du cours Hacking des applications Web, « la très grande majorité des personnes impliquées dans les projets d’applications Web (développeurs, chefs de projet, maîtrise d’ouvrage…) n’ont qu’une très vague idée des risques encourus par une application Web développée sans se préoccuper de sécurité. La plupart d’entre elles considèrent que la sécurité est essentiellement liée au monde des réseaux et que les réponses doivent donc être apportées par les administrateurs systèmes et réseaux. Pourtant il ne sert à rien de sécuriser en profondeur son réseau pour laisser de gros trous de sécurité dans ses applications ».
Les applications Web sont très peu protégées
Il suffit parfois simplement d’utiliser les champs de saisie de l’application, avec du code SQL approprié, pour s’introduire dans le système et avoir accès aux données. Face à ce genre de situation, il se produit souvent une prise de conscience au sein de l’équipe projet qui découvre combien son application est ouverte aux internautes plus ou moins bien intentionnés, comme aux utilisateurs peu vigilants. Les remèdes sont pourtant souvent simples et peu coûteux. Dans la plupart des cas, ils ne nécessitent pas d’investissement matériel ni logiciel mais une culture commune chez les développeurs, soit un peu de temps homme, et le suivi scrupuleux de règles de codage.
Une formation pour éviter aisément les attaques les plus courantes
Fort de ce constat Valtech Training a développé une formation destinée à sensibiliser à ce problème tous les acteurs des projets de développement d’applications Web, du directeur informatique au concepteur en passant par les chefs de projet. Dans un premier temps, afin d’unifier le niveau de connaissance, ce cours revient sur les bases de la sécurité (authentification, SSL, VPN, Virus…) comme sur celles spécifiques à la saisie et l’authentification sur le Web (re-post des données, gestion des sessions authentifiées…). Puis les attaques les plus courantes sont analysées (SQL Injection, détournement de sessions authentifiées, Cross Site Scripting…). Enfin, les règles à suivre afin d’éviter simplement les attaques sont dispensées (masquer les URL, valider les données, contrôle d’accès, accès au SGBD…). Au final, le participant repart sensibilisé et peut mettre en œuvre simplement une vraie stratégie pour contrer les assauts les plus courants.
La société Valtech Training
Question: Avez-vous déjà réaliser une audite de sécurité par-rapport à votre site-web ? Croyez-vous votre site sécurisé ?