Skip to main content
Join the Agentforce Hackathon on Nov. 18-19 to compete for a $20,000 Grand Prize. Sign up now. Terms apply.

Configuration adéquate des composants

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Décrire l’importance de configurer correctement les composants
  • Décrire le rôle d’un ingénieur en sécurité des applications pour minimiser l’impact potentiel d’une mauvaise configuration de sécurité

Configuration adéquate des composants

En plus de valider, assainir, tester et réviser le code, les ingénieurs en sécurité des applications sécurisent le cycle de vie du développement logiciel en empêchant que des erreurs de configuration en matière de sécurité soient commises. Lorsque la sécurité est mal configurée, on constate une incapacité à paramétrer, corriger et mettre à niveau en toute sécurité les systèmes d’exploitation, les cadres de programmation, les bibliothèques et les applications. 

Cela se produit notamment lors du déploiement d’un système d’exploitation dont la configuration par défaut n’est pas sécurisée, lorsque des compartiments de stockage Cloud sont laissés librement accessibles au public ou quand les messages d’erreur n’ont pas été configurés correctement, ce qui provoque l’exposition d’informations système sensibles aux attaquants. 

Cela fournit aux attaquants un accès non autorisé à des données ou fonctionnalités système. Les attaquants peuvent facilement exploiter une mauvaise configuration, qui est un problème très répandu en matière de sécurité. Les attaquants ont souvent connaissance des failles de sécurité non corrigées et des identifiants de compte par défaut, qu’ils peuvent utiliser pour obtenir un accès non autorisé aux données d’une entreprise et de ses clients. 

Protection contre les mauvaises configurations de sécurité

Imaginez un client venant d’acheter un nouveau smartphone. Lorsqu’il allume le téléphone pour la première fois, le client examine et modifie les paramètres pour s’assurer que tout est parfaitement configuré. Il peut configurer un code PIN personnel ou une empreinte digitale dont il se servira pour se connecter au téléphone. Il télécharge et met à jour de nouveaux logiciels afin d’utiliser les dernières applications. Il supprime les applications par défaut qu’il n’utilise pas souvent et modifie la langue, les paramètres d’heure et l’image d’arrière-plan du téléphone. 

Un client configurant les paramètres d’un nouveau téléphone mobile et un ingénieur en sécurité des applications sécurisant les configurations des composants d’une application

Tout comme un client modifie des paramètres pour configurer son téléphone selon ses préférences personnelles, un ingénieur en sécurité des applications collabore avec une équipe de développement pour ajuster les paramètres des composants d’une application afin de garantir qu’ils fonctionnent correctement et en toute sécurité. 

Les ingénieurs suppriment les comptes et les mots de passe par défaut. Ils œuvrent de concert avec les équipes de développement et d’exploitation pour garantir que le logiciel utilisé par l’application est à jour et que les correctifs adéquats lui ont été appliqués. Ils vérifient si les autorisations dans les services Cloud ont été correctement configurées afin que des données sensibles ne soient pas accidentellement visibles par le public. Ils désactivent ou désinstallent les fonctionnalités inutiles, telles que les ports, les services et les pages, étant donné qu’un attaquant pourrait utiliser ces ouvertures pour accéder à l’application. 

À cet égard, l’ingénieur en sécurité des applications veille au bon respect des conditions suivantes. 

  • L’organisation utilise un processus de configuration de la sécurité des applications qui est reproductible et a été défini de manière concertée.
  • L’ensemble des équipes de développement utilisent des environnements de développement, d’assurance qualité (QA) et de production identiques pour maintenir la cohérence entre l’environnement dans lequel les développeurs développent et testent l’application et celui dans lequel ils la déploient.
  • La vérification et les tests des paramètres de configuration sont automatisés afin de réduire les erreurs humaines et d’améliorer la rapidité et l’efficacité du processus de développement.

Pour plus d’informations sur les tests relatifs à la gestion de la configuration, consultez la ressource OWASP, qui offre une multitude d’informations supplémentaires. 

Conclusion

Vous avez découvert des stratégies permettant de renforcer la pile d’applications en standardisant et en sécurisant les configurations. Il est maintenant temps pour vous d’en apprendre davantage sur une autre considération essentielle pour un ingénieur en sécurité des applications : la protection de l’authentification et de l’accès aux applications.  

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires