Skip to main content

Protection des données d’application sensibles contre toute exposition

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Énumérer les avantages de la protection et du chiffrement des données
  • Décrire les méthodes d’attaque pouvant conduire à l’exposition de données sensibles

Protection et chiffrement des données

Pour assurer la protection des données sensibles contre toute exposition, les ingénieurs en sécurité des applications ont recours à un outil puissant : le chiffrement. Le chiffrement est une méthode par laquelle du texte brut (comme les mots que vous lisez) ou d’autres types de données, tels que les images, sont convertis d’une forme lisible en une version codée qui ne peut être décodée par une personne que si elle a accès à la clé de déchiffrement. Dans cette unité, nous passerons en revue quelques-unes des puissantes fonctions du chiffrement et de la protection des données qu’utilisent les ingénieurs en sécurité des applications.  

Les ingénieurs en sécurité des applications ont un rôle particulièrement important à jouer dans la sécurisation des activités de partage de données (comme l’envoi d’un e-mail), la défense des éléments secrets (comme les mots de passe) et la protection du stockage cryptographique (qui concerne par exemple les données sur un serveur). Ils protègent les données sensibles, qu’il s’agisse d’informations financières, de dossiers de santé ou d’informations personnelles identifiables (PII) telles que le numéro de sécurité sociale d’un individu. Les ingénieurs s’efforcent de sécuriser toutes les transmissions de données, de chiffrer les données au repos et en transit, et d’avoir recours à des algorithmes puissants et à une gestion appropriée des clés lors de l’implémentation du chiffrement. 

Les ingénieurs en sécurité des applications utilisent le chiffrement pour protéger les données au repos et en transit contre le vol ou la modification, notamment lorsqu’elles sont échangées entre un utilisateur, une application et un navigateur. Les ingénieurs implémentent le chiffrement au niveau du stockage dans un serveur, au niveau de la base de données dans les tableaux, les colonnes et les lignes, au sein de protocoles de transport tels que HTTPS (Secure Hypertext Transport Protocol) ou TLS (Transport Layer Security), ainsi que dans l’environnement du client (côté navigateur). 

L’implémentation du chiffrement à l’aide de ces protocoles garantit la confidentialité, le contrôle de l’authentification et l’intégrité des données dans le cadre des communications s’effectuant par le biais d’Internet. L’utilisation du chiffrement au niveau de ces différentes composantes empêche les personnes malveillantes d’espionner des communications, d’altérer des données ou de falsifier des messages. 

Utilisation du chiffrement pour verrouiller des données sur un serveur de stockage et un serveur de base de données, ainsi que pendant leur transmission entre les serveurs et le client (représenté par un ordinateur portable)

Protection contre l’exposition de données sensibles

Le phénomène d’exposition de données sensibles se produit lorsque des attaquants sont en mesure d’accéder à des données non chiffrées au repos ou en transit. Selon le domaine d’activité dans lequel une application est employée, un tel cas de figure peut potentiellement engendrer l’exposition de données sensibles telles que des informations personnelles identifiables, des dossiers médicaux, des identifiants ou des numéros de carte de crédit, et avoir un impact négatif important sur une organisation et ses clients. 

Un attaquant peut tenter d’exposer des données sensibles de plusieurs manières différentes. Il peut tenter de dérober des clés de chiffrement ou des données en texte brut stockées au sein d’un serveur ou transitant depuis le client de l’utilisateur (navigateur), ou bien essayer de s’en emparer lorsque celles-ci sont au repos au sein d’un autre emplacement, tel qu’un disque dur. Il peut également tenter d’exécuter une attaque de type « Man-in-the-Middle » (MITM). Ce type d’attaque peut se produire lorsqu’un utilisateur communique avec une autre personne via un point d’accès sans fil non chiffré. L’attaquant est capable de s’intercaler entre les deux interlocuteurs et d’espionner leur conversation en interceptant leurs messages. Il peut même injecter de nouveaux messages au sein de leur échange, alors que les victimes pensent qu’elles se parlent directement via une connexion privée. 

Un attaquant espionne une conversation entre deux personnes lors d’une attaque de type « Man-in-the-Middle » (MITM)

Les ingénieurs en sécurité des applications doivent absolument se préoccuper de l’exposition des données sensibles. Il s’agit d’un risque courant et important que les attaquants cherchent à exploiter. Cependant, il y a de nombreuses actions qu’un ingénieur en sécurité des applications peut entreprendre afin d’évaluer les vulnérabilités des applications à l’exposition de données sensibles et améliorer leurs protections. 

L’ingénieur commence par s’assurer qu’il connaît les types de données stockées et transmises via l’application, le niveau de confidentialité de ces données et la manière dont elles doivent être protégées du point de vue des risques et de la réglementation. 

Ensuite, il détermine si des données sont transmises en texte clair et implémente la TLS pour protéger les données en transit. Il s’assure également que les applications Web sont conçues pour fonctionner uniquement selon le protocole HTTPS, qui chiffre les données en transit au sein des sites Web, plutôt que selon le protocole HTTP, qui ne propose pas une telle protection. Une fois que l’ingénieur s’est assuré que les données en transit sont chiffrées, il évalue également la façon dont la pile technologique stocke les données sensibles, y compris les sauvegardes, et vérifie que toutes les données sensibles au repos sont bien chiffrées. 

Comme il s’avère très complexe d’employer et de comprendre le chiffrement, l’ingénieur en sécurité des applications consulte un spécialiste en cryptographie travaillant pour son organisation. Celui-ci l’aide à mieux évaluer l’utilisation du chiffrement dans le cadre de la sécurisation des données sensibles de l’organisation. Il lui pose notamment des questions sur la puissance des algorithmes utilisés pour chiffrer les données et sur la manière dont les clés des données sont utilisées, gérées et permutées. Pour plus d’informations sur la façon d’assurer un chiffrement fort, consultez la ressource relative aux tests de cryptographie faible proposée par l’organisation OWASP. 

Conclusion

Vous avez découvert comment les ingénieurs en sécurité des applications utilisent le chiffrement pour protéger les données sensibles contre toute exposition. Il est maintenant temps d’examiner comment les ingénieurs en sécurité des applications implémentent la journalisation et la surveillance afin de détecter les intrusions dans les applications.

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires