| |
|
|
| |
JUIN
2008
|
| |
LA UNE |
 |
|
Trusted Application : Un label pour promouvoir une démarche sécurité
dans la mise en œuvre et l’utilisation des applications Web
|
|
 |
|
Les applications Web sont porteuses de toutes les vertus mais aussi de tous les dangers. Le risque induit est souvent la cause principale qui va freiner les organisations dans leur projet ou dissuader les utilisateurs d'accorder leur confiance à ces nouveaux outils.
Garantir une sécurité globale est la seule réponse qui puisse remédier à cet état. Mais, compte tenu de la perpétuelle évolution des technologies Web, celle-ci n'est pas simple à apporter et décourage souvent les premières initiatives.
La sécurité commence par de la logique et de l'organisation. Plus qu'un résultat elle est une démarche qui doit favoriser la prise de conscience et dégager des objectifs progressifs et réalistes.
Le label Trusted Application a été conçu pour promouvoir et favoriser une démarche basée sur l'amélioration continue. Il comprend un ensemble de modules conçus pour être facilement accessibles. Il adresse toute la sphère de l'écosystème des applications Web (développeur, fournisseur de service, hébergeur, administrateur sécurité, utilisateur).
Dédié aux applications Web, le programme Trusted Application couvre les trois volets qui les caractérisent :
• Cartographie des ressources et mesure du risque
• Monitoring et filtrage du trafic
• Confidentialité et contrôle d'accès
Pour en savoir plus : www.trustedapplication.com
|
| |
 |
| |
|
Haut de page |
|
|
Authentification Forte: Trusted Application. 1 euro / mois / utilisateur : L'authentification forte accessible pour tous !
|
Les applications Web n'en finissent pas d'offrir des fonctionnalités de plus en plus riches et permettent ainsi de fédérer des groupes ou communautés d'utilisateurs: Espaces partenaires, club d'utilisateurs, réseau de fournisseurs, clients VIP... Très nombreux sont aujourd'hui les sites Web à offrir des fonctionnalités étendues, sous la forme d'avantages divers, à leurs utilisateurs et clients privilégiés.
|
|
|
|
Par contre, que la porte d'entrée à ces espaces privés ne soit constituée que d'un simple couple identifiant plus mot de passe n'offre qu'un contrôle d'accès assez pauvre, à la fois pour des raisons de sécurité évidente comme pour l'image que cela représente. La solution à ce problème s'appelle l'authentification forte, ou authentification à 2 facteurs. Elle présente à la fois les avantages d'une sécurité maximale et matérialise également un lien entre le fournisseur et ses utilisateurs. Son inconvénient unique mais néanmoins bloquant était jusqu'à ce jour son prix. L'investissement traditionnel se chiffre en effet à plusieurs dizaines d'euros par utilisateur auquel doivent s'ajouter des coûts d'exploitation particulièrement conséquent : une telle solution devant fonctionner en permanence, elle impose des redondances techniques et humaines particulièrement onéreuses.
|
|
En fin de compte et pour la très grande majorité des entreprises ou organisation, l'addition finale s'avérait trop élevée et ces solutions étaient, à regret, écartées.
Aujourd'hui, grâce à une technologie particulièrement innovante et à une architecture spécifiquement conçue pour les applications Web, Bee Ware propose une solution d'authentification forte (compatible avec toutes les applications Web et sans aucune modification ou même ajout d'agent sur celles-ci,) accessible en tant que service et sans engagement de durée, au prix de 1 euro par mois et par utilisateur.
Cliquer ici pour découvrir l'offre d'authentification Trusted Application
|
| |
 |
| |
|
Haut de page |
|
|
|
« Silent Auditing », Une nouvelle approche pour l'Audit des applications Web:
|
|
|
Le Web est une révolution. Les changements sont à la fois technologiques, comportementaux et organisationnels. Ils impactent aussi bien la vie du consommateur que les méthodes de travail. |
| |
 |
|
A ce titre, on l'imagine facilement, nombre des anciennes règles gouvernant la sécurité sont devenues caduques. De nouveaux modèles pour l'organisation et la gestion de la sécurité informatique apparaissent. Non seulement le périmètre des réseaux évolue, mais les nouvelles applications déployées ne sont ni comprises ni donc contrôlées par les systèmes de sécurité existants. Mais avant même de parler de système de protection, la première étape commence avec l'analyse et la compréhension des applications.
|
|
Bee Ware, spécialiste et leader incontesté de la sécurité des applications Web, est depuis des années à la pointe de l'innovation et de la recherche en matière de sécurité Web. Le Livre Blanc proposé ici en téléchargement, explique les bénéfices de l'approche dénommée « Silent Web Application Process Fingerprinting » qui, de par son caractère non intrusif et parce qu'elle est fondée sur les spécificités de l’environnement Web, apporte un regard nouveau sur le processus d'audit des applications Web.
Cliquer ici pour télécharger le Livre Blanc
NB: Une version détaillée de ce White Paper, incluant de nombreux scénarios techniques d'audit, a été publié par le magasine Hakin9 dans son numéro de mai - juin 2008.
|
|
| | | | |
|
| |
|
Haut de page |
|
|
Juin 2008 – Une échéance clef pour la conformité au référentiel PCI - DSS
|
Le PCI (Payment Card Industry) Security Standard Council, à l'origine du référentiel PCI-DSS,a défini différents dispositifs de sécurité que doivent mettre en œuvre toutes les organisations traitant, stockant ou transmettant des données relatives aux titulaires des cartes de paiement.
|
|
|
|
La conformité au PCI DSS s'appuie et formalise les meilleures pratiques de sécurité. Elle se traduit par des solutions d'ordre à la fois techniques et organisationnelles avec notamment le contrôle régulier des configurations déployées. La certification est donc avant tout une démarche que les organisations doivent entreprendre et ne saurait être garantie par un produit intégré de conformité PCI DSS dont la correcte configuration et le suivi ne seraient pas traités alors que c'est pourtant l'une des exigences premières. Plus pragmatique, l'approche du PCI DSS, s'appuie sur le respect des règles de l'art en matière de sécurité. Cela commence avec une architecture réseau appropriée, des outils de sécurité adaptés aux technologies mises en œuvre et des processus d'exploitation permettant de maintenir la cohérence des configurations.
|
|
A la date du 30 Juin 2008 la recommandation 6.6, décrivant la nécessité d'une protection spécifique de l'application Web (Audit contrôle de code ou pare-feu de couche applicative) deviendra obligatoire. En d'autres termes cela signifie qu'à cette date les organisations auront du intégrer dans leurs procédures de sécurité la mise en exploitation et le suivi d'une sécurité spécifique de l'application.
Bee Ware, leader des solutions de Sécurité Web depuis de nombreuses années, possède avec ses produits i-Watch (Audit & Monitoring), i-Sentry (Pare-feu applicatif) et i-Trust (Authentification) une suite complète, facile à administrer et à configurer, conçue pour s'insérer de façon modulaire et simple dans toute architecture et y apporter la nécessaire composante applicative.
Cliquer ici pour en savoir plus sur la conformité PCI DSS avec les outils Bee Ware.
|
| |
|
| |
| |
NOUVEAUTES |
Haut de page |
|
|
i-Watch 2.6, détection du changement, détection des modifications de l'application
|
Les problèmes les plus graves ne sont pas toujours les plus complexes. Les applications Web en apportent quotidiennement une nouvelle preuve.
|
|
|
|
Dans ce monde en perpétuel changement l'absence d'information sur l'évolution des applications représente un des problèmes majeurs pour les responsables sécurité. En effet, parce que la mise en ligne des nouvelles fonctionnalités est un processus prioritaire au sein des organisations, il arrive souvent que de nouveaux scripts ou de nouveaux formulaires soient déployés sans que leur sécurité ne puisent être vérifiée, et ceci par simplement parce que les personnes concernées n'en n'ont pas été notifiées.
Encore plus grave est le cas où la modification de l'application ne provient pas des développeurs mais résulte des conséquences d'une intrusion. |
|
De nombreuses stratégies d'attaques (Cross Site Scripting, Phishing...) reposent en effet sur un concept de piège, lequel se matérialise par un code malicieux déposé par le Hacker afin de dérober diverses informations confidentielles (cookie d'identification, code d'accès...) sur les postes clients ayant consultés la page infestée de l'application.
La nouvelle version de i-Watch apporte une réponse simple et efficace à cette double problématique. Grâce à la simple lecture du trafic, une détection des nouvelles pages ou ressources peut ainsi être effectuée de façon transparente et permet de remonter une alerte vers les administrateurs.
Cliquer ici pour plus d'informations sur le Contrôle Permanent de i-Watch.
|
| |
| |
| |
i-Sentry OWA : Nouveau Template pré-configuré pour la protection de Outlook Web Access.
|
La messagerie est l'une des applications les plus utilisées de part le monde et sa consultation via une interface Web HTTP est une pratique qui s'est également fortement popularisée. Microsoft, avec son produit Exchange et son interface Web OWA (Outlook Web Access) détient une très grande part de ce marché.
|
|
|
|
Mais ces interfaces Web de messagerie, parce que complexes et riches en fonctionnalités,
sont aussi souvent porteuses de vulnérabilités et donc une cible appréciée des Hackers. Pour faciliter le travail des administrateurs sécurité, Bee Ware propose un Template OWA additionnel de son Firewall i-Sentry qui contient un ensemble de règles de sécurité conçues spécifiquement pour la dernière version (Exchange 2007) de la messagerie de Microsoft.
|
|
Installé en quelques clics de souris, ce Template sécurise fortement l'interface Web de messagerie en amont de celle-ci et donc sans interférence possible. Elle permet ainsi à toute organisation de bénéficier pleinement et en toute confiance des possibilités de sa messagerie, que ce soit dans un cadre d'utilisation privé ou de consultation via le Web.
Cliquer ici pour plus d'informations sur le Firewall Applicatif i-Sentry et son Template OWA
|
| |
| |
| |
Agenda |
La messagerie est l'une des applications les plus utilisées de part le monde et sa consultation via une interface Web HTTP est une pratique qui s'est également fortement popularisée. Microsoft, avec son produit Exchange et son interface Web OWA (Outlook Web Access) détient une très grande part de ce marché.
|
|
|
|
Fin du Support au 31/10/2008 pour les versions :
• i-Sentry Version 3
• i-Trust Version 2
A compter du 1er Novembre, les versions citées ne seront plus supportées.
Plus d'information, y compris les différentes procédures d'assistance pour mise à jour, sont disponibles sur notre site https://support.bee-ware.net/
Vos intégrateurs sont également à votre disposition pour vous assister lors des phases de migrations. |
|
Bee Ware aux Assises de la Sécurité
Bee Ware sera présent et vous donne rendez-vous aux Assises de la Sécurité et des Systèmes d'Information qui se dérouleront du 15 au 18 octobre 2008 à Monaco. |
| |
| |
INFO & CONTACT |
Haut de page |
|
|
Votre opinion nous intéresse :
|
| |
Votre
opinion nous intéresse : nous nous réjouissons de tout
commentaire, suggestion ou demande concernant notre bulletin
électronique.
Contactez
nous avec vos retours : newsletter@bee-ware.net
-
Si vous ne souhaitez plus recevoir le newsletter de Bee Ware,
ou si vous souhaitez changer d’adresse mail veuillez cliquer ici.
-
Pour plus d’informations concernant la gamme de produits de
Bee Ware, visitez notre site Internet www.bee-ware.net
Bee
Ware
121 rue d’Aguesseau
92100 Boulogne Billancourt - France
Tel: +33 1 41 03 14 83 - Fax : +33 1 55 60 18 39 |
| | | |
 |
