SlideShare ist ein Scribd-Unternehmen logo

White paper - La sécurisation des web services

Bee_Ware
Bee_Ware
Technologie
1 von 12
Downloaden Sie, um offline zu lesen
La sécurisation des Web Services Livre Blanc
Le parefeu XML sécurise les échanges entre applications Livre Blanc L’entreprise gagne à soigner l’interopérabilité de ses applications si elle veut croiser ses informations, enrichir ses analyses et conquérir de nouveaux marchés. Dans ce contexte, l’infrastructure Web Services devient un enjeu crucial. Elle figure au centre de l’interconnexion des systèmes d’informations et des migrations actuelles vers le cloud computing. De nouveaux moyens de protection sont nécessaires pour fournir des interactions continues, des échanges fiables et sécurisés de Web Services, qu’ils soient destinés aux partenaires de l’entreprise ou aux salariés.
Page 4 S avez-vous qui exploite réellement vos Web Services ? Lorsque la direction informatique donne le feu vert pour déployer ces composants applicatifs, c’est pour industrialiser des échanges commerciaux avec des partenaires, sans intervention humaine. La DSI provoque des interactions entre deux applications hétérogènes, par exemple pour consulter le stock d’un fournisseur et répondre à une commande en ligne avec une date de livraison pertinente. En coulisse, cette implémentation repose sur plusieurs pro- tocoles et standards, issus du Web et respectant, le plus souvent, l’architecture orientée services SOA (les standards "WS-*"). Les données fournies en réponse à l’invocation du service sont structurées et représentées en langage XML, là où une page HTML répond à une requête HTTP de l’utilisateur d’un navigateur Web. Le hacker, de son côté, cherche à se faire passer pour une ressource applicative, par exemple via un contenu malicieux encapsulé dans un message. Il tente ainsi de sonder les Web Services exposant des données sensibles, pour récupérer des mots de passe ou des références bancaires. D’où l’impor- tance d’identifier soigneusement le deman- deur comme le fournisseur de services. A présent, de nombreux mécanismes d’intrusions se répandent sur Inter- net ; des boîtes à outils détectent les dernières vulnérabilités applicatives. D’autres défis attendent l’exploitant des Web Services. Qu’il soit hébergeur des serveurs d’applications ou responsable de la production informatique interne, il doit garantir une disponi- bilité continue de chaque module communicant. Il s’organise donc pour diminuer les interventions en cas d’attaque malveil- lante, de maladresse d’un développeur ou d’un administrateur. Comment ? En sélectionnant les outils et les procédures rédui- sant les délais de maintenance, en anticipant les intrusions, en filtrant les messages et en corrigeant les erreurs. Garantir la disponibilité du service La sécurisation des flux de machine à machine devient une priorité pour tous ceux qui exposent des Web Services à leurs partenaires. Ils doivent garantir un niveau de disponibilité et un niveau de conformité constant, le plus élevé possible. Or, les défenses actuelles suivent un schéma dépassé, sur trois niveaux. La plupart offrent un périmètre renforcé, nécessaire mais insuffisant. Il faut passer du correctif logiciel à une ré- flexion architecturale, prévenir le déni de service, anticiper les attaques, détecter l’origine précise du problème, puis le résoudre rapidement. Naturellement, on ne va pas demander aux yeux humains de surveiller chaque flux de données émis par le Web Service. Une nouvelle automatisation doit intervenir au sein d’un équi- pement intelligent, fiable, simple à configurer et évolutif. • Sans surveillance, les Web Services restent vulnérables Les hackers ne se contentent pas d’infiltrer les réseaux. Ils découvrent de nouvelles failles applicatives chaque jour. Et ils en profitent pour intercepter des données sensibles. Parmi les attaques répandues sur le niveau applicatif, l’injection de requêtes SQL permet de de dérober des données confidentielles. L’injection de requêtes sur l’annuaire LDAP peut servir à usurper les droits de l’administrateur, pour prendre la main sur une res- source partagée, un équipement ou un WebService. Les scripts d’interception de données figurent dans de nombreux kits d’attaques. Certains exploitent le format, l’enveloppe, ou le message XML. D’autres ciblent le parseur XML qui analyse les messages transmis. Une infrastructure web non sécurisée expose les serveurs à de multiples vulnérabilités comme le déni de service, le détournement de service, la prise de contrôle à distance, le vol ou l’effacement de données. Il faut protéger les web services tout comme on a protégé en leur temps les applications web. Un outil comme le pare-feu applicatif doit avoir son pendant dans le référentiel des web services. Agile, polyvalent, ce « pare-feu XML » permet d’analyser les messages XML et leur contexte, tout comme les pare-feu l’ont fait pour les requêtes HTTP standard. La problématique Les Web Services évoluent en milieu hostile. Que fait-on pour les sécuriser ? <?xml version=»1.0» encoding=»UTF-8»?>        <kml xmlns=»http://earth.google.com/kml/2.0»>    <Response>        <name>rue de la chimie, saint martin d’hères</name>        <Status>            <code>200</code>            <request>geocode</request>        </Status>        <Placemark id=»p1»>            <address>rue de la chimie, 38400 Saint martin d’hères, France</address>
Page 5 L e portefeuille applicatif de l’entreprise évolue vers un univers de services hétérogènes. Il se compose d’un nombre croissant d’applications SaaS (Software as a Service) accessibles à la demande. Les développements intranet et les applications métiers cohabitent fréquemment derrière un portail Web. Au final, un nombre croissant de Web Services sont consommés en interne. D’autres composants semblables sont exposés aux partenaires de l’entreprise. Cette tendance s’accentue avec la dématéria- lisation des procédures, avec le commerce électronique, avec les réseaux sociaux et les places de marché sur Internet. Relever des défis critiques Le rôle du parefeu XML est donc critique. D’une part, pour garantir la disponibilité et la conformité des flux XML, et d’autre part pour alerter l’administrateur avant et pendant une attaque, une panne ou une défaillance de Web Services. Prenons un exemple concret. Lorsqu’un internaute commande un produit sur le site web de l’entreprise, l’application mar- chande lui présente un bon de commande dont les informations proviennent de plusieurs modules intégrés. En arrière-plan, les serveurs d’applications invoquent plusieurs Web Services. Dès qu’elle procède aux premiers échanges automatisés, l’entre- prise doit maintenir une chaîne cohérente, stable et sécuri- sée. Elle doit analyser les comportements de chaque module applicatif, sonder plusieurs niveaux de protocoles réseaux et web, inspecter les fichiers retournés par chaque composant, indépendamment du langage de développement. Le sas de sécurité historique - la DMZ - n’est plus l’unique point de contrôle nécessaire et suffisant. De même, le pare- feu réseau perd de son intérêt lorsque les communications basculent vers le protocole HTTP sur SSL, court-circuitant tout filtrage de bas niveau pour l’accès aux ressources réseau. Le pare-feu XML et ses nombreuses fonctionnalités apportent une instrumentation adaptée aux besoins actuels de sécurisa- tion des interactions. Il filtre ainsi de façon simple et efficace tous les flux de données. Conscient de l’état du réseau, cet équipement matériel facilite le dialogue entre administrateurs (applicatif, système, réseaux) et RSSI (responsable de la sécu- rité du système d’information). Les analyses fournies par le pare-feu XML mettent fin aux contentieux éventuels. L’entreprise y gagne une disponibilité de services continue. Elle peut garantir la conformité de ses échanges automatisés, de machine à machine. Ses incidents applicatifs ne se reproduisent plus sans fin. • Anticiper l’attaque, inspecter les flux, délivrer les preuves Avant, pendant et après l’incident, le parefeu XML surveille, filtre et trace les flux de données. Ses algorithmes d’inspection et d’analyse procurent une défense et un reporting précieux. Première étape, le parefeu XML intervient, de façon préventive, en orchestrant les moyens de sécurité mis à sa disposition. Il aide à préparer, puis à valider des règles d’accès sécurisés. Il recense les Web Services puis procède au diagnostic de niveau de sécurité de chaque composant. Il permet aux développeurs de s’assurer, de manière transparente, que leur travail est conforme à la politique de sécurité des Web Services de l’entreprise. Une fois déployé, conscient du contexte, il filtre les messages échangés en temps réel. S’il détecte un incident ou une intrusion, il bloque à temps les conte- nus suspects, même si le type d’attaque n’a jamais été rencontré jusque là. Il surveille les performances des Web Services, s’assure que ceux-ci sont disponibles et vont le demeurer. En cas d’alerte, ou suite à une dégradation de perfor- mances, ses réponses sont également précieuses. Le parefeu XML apporte une analyse qui aide à comprendre pourquoi un WebService ne répond plus ou bien trop lentement. Grâce aux rapports qu’il délivre, l’administra- teur peut remonter la trace des échanges jusqu’à trouver l’origine du problème. La méthodologie « Le parefeu XML enrichit considérablement la sécurité des Web Services, en particulier pour les transactions financières, les échanges de données privées ou relatives à la propriété intellectuelle » (source : Gartner 2011) Une protection en trois phases
Page 6 L e parefeu XML renforce les ressources applicatives et les interactions entre applications. De son côté, le parefeu réseau filtre les accès aux équipements du réseau. Les deux dispositifs sont complémentaires. L’un comme l’autre doivent être configurés pour faire respecter la politique de sécurité de l’entre- prise, chacun à leur niveau. Les Web Services délivrent des données à l’intérieur de l’entreprise aussi bien que vers l’extérieur. Par conséquent, le parefeu XML Bee Ware applique des règles de sécurité distinctes, selon l’emploi, interne ou externe, des modules appli- catifs surveillés. Conscient de la topologie du réseau physique, il sait communiquer avec les dispositifs actifs de l’infrastruc- ture, pour révéler, en cas d’indisponibilité du service, l’origine du dysfonctionnement. Des Web Services intégralement suivis Une fois installé, l’équipement dédié surveille les flux échangés entre les serveurs d’applications Web, le contenu des mes- sages (XML/SOAP, REST) et des attachements. Conforme aux derniers standards, le parefeu XML Bee Ware protège chaque WebService en examinant tout son éco-système. En cas d’interruption ou de dégradation de service, il prévient l’ad- ministrateur que le niveau de service est altéré, précisant le module en cause et le segment de réseau concerné. Les fonctions de reporting et de suivi visuel de l’activité apportent une visibilité nouvelle aux responsables de l’exploitation et de la sécurité informatique. Le boîtier analyse, à la volée, les scripts encapsulés et propose une réaction immédiate. Il bloque ainsi les attaques en déni de service et garan- tit que les données fournies par le WebService sont toujours intactes et conformes au format attendu. L’exécution de règles de sécurité contribue à détecter les comportements suspects et les scripts malicieux. Chaque Web Service est pro- tégé dans son contexte d’utilisation. L’appliance Bee Ware se déploie de manière adaptable, en mode reverse proxy ou transparent proxy. Cela permet un routage applicatif granulaire vers les applications autorisées, internes comme externes. Bee Ware renforce ainsi les canaux de communication intra-entreprise et inter-entreprises. En pratique, le parefeu XML Bee Ware rejoint très rapidement le site de production informatique ou bien le datacenter de l’hébergeur lorsque les traitements sont externalisés. Il n’y a pas de plateforme serveur à commander ni à configurer, aucune installation ni aucune mise à niveau manuelle à gérer pour renforcer les Web Services. En option, le parefeu XML Bee Ware est disponible sous forme d’appliance virtuelle VMware. • Le parefeu XML Bee Ware apporte une visibilité nouvelle Conforme aux derniers standards des Web Services, simple à porter et à exploiter, le parefeu XML Bee Ware rejoint tous les sites sensibles. Il protège les applications internes et externes. Un flux de données XML peut concerner plusieurs par- tenaires à la fois, chacun exigeant son propre niveau de sécurité. De l’authentification à la signature électronique, en passant par les fichiers attachés, le parefeu XML Bee Ware garantit que toutes les informations sensibles sont sécurisées, chiffrées avec le bon algorithme, conformé- ment aux applications et aux politiques de sécurité des partenaires. « Des portions de message peuvent être chiffrées différemment, car chaque application du par- tenaire captera une partie seulement du message. Notre parefeu XML assure le suivi et la conformité de telles interactions », précise Jérôme Clauzade, le responsable produit de Bee Ware. La réponse technologique Jérôme Clauzade Responsable Produit Bee ware france Une inspection fine et précise des messages <?xml version=»1.0» encoding=»UTF-8»?>        <kml xmlns=»http://earth.google.com/kml/2.0»>    <Response>        <name>rue de la chimie, saint martin d’hères</name>        <Status>            <code>200</code>            <request>geocode</request>        </Status>        <Placemark id=»p1»>            <address>rue de la chimie, 38400 Saint martin d’hères, France</address>            <AddressDetails Accuracy=»6» xmlns=»urn:oasis:names:tc:ciq:xsdschema:xAL:2.0»>                <Country>                    <CountryNameCode>FR</CountryNameCode>                    <CountryName>France</CountryName>                    <AdministrativeArea>                        <AdministrativeAreaName>Rhône-Alpes</AdministrativeAreaName>                        <SubAdministrativeArea>                            <SubAdministrativeAreaName>Isère</SubAdministrativeAreaName>                            <Locality>                                <LocalityName>Saint martin d’hères</LocalityName>                                <Thoroughfare>                                    <ThoroughfareName>Chemin de Malanot</ThoroughfareName>                                </Thoroughfare>                                <PostalCode>                                    <PostalCodeNumber>38400</PostalCodeNumber>                                </PostalCode>                            </Locality>                        </SubAdministrativeArea>                    </AdministrativeArea> <?xml version=»1.0» encod    <kml xmlns=»http://eart    <Response>        <name>rue de la chimi        <Status>            <code>200</code>            <request>geocode</        </Status>        <Placemark id=»p1»>            <address>rue de la c            <AddressDetails Accu                <Country>                    <CountryNameCo                    <CountryName>F                    <AdministrativeA                        <Administrativ                        <SubAdministr                            <SubAdminis                            <Locality>                                <LocalityNa                                <Thorough                                    <Thoroug                                </Thorough                                <PostalCod                                    <PostalCo                                </PostalCod                            </Locality>                        </SubAdminist                    </Administrative
Page 7 Une configuration adaptée au contexte de chaque lien QoS R Réseaux privés Internet Applications internes R&D Utilisateur Partenaire Fournisseur Entreprise 1 2 2 3 4 1 Adoption des standards de sécurité L’intégration de la sécurité dans l’envi- ronnement de développement des Web Services permet de réduire les délais de publication. La R&D et la Production parlent le même langage sécurité • 2 Protection et routage Les Web Services publiés vers l’entre- prise ou vers Internet requièrent une analyse en profondeur des messages, tant les technologies employées sont diverses et potentiellement exploitables. Le support des standards est indispen- sable (XML, RESTful, JSON, etc.) pour l’inspection et le routage applicatif • 3 Qualité de service Les messages en direction des par- tenaires sont validés par le pare-feu XML afin de s’assurer que leur format et leur fréquence ne vont pas acciden- tellement perturber le Web Service du partenaire • 4 Continuité de service Le pare-feu XML garantit la disponibi- lité des Web Services pour les parte- naires en les assurant qu’un incident de production de l’un d’entre eux (bug, surcharge accidentelle) ne va perturber l’ensemble du service • Le déploiement
Page 8 S oftware AG est un éditeur Européen spécialisé dans l’intégration des partenaires et dans la modernisa- tion du système d’informations. Sa suite de logiciels prend en charge la modélisation et l’exécution des processus métiers de l’entreprise en s’appuyant sur une architecture SOA, un bus de services et un référentiel unique : l’annuaire de services. C’est autour de cet annuaire, précieux pour l’ouverture du système aux partenaires, que démarre la relation avec l’équi- pementier Français Bee Ware. Il s’agit de sécuriser les Web Services exposés, de protéger le système contre les attaques et les risques principaux, qu’ils viennent de l’extérieur comme de l’intérieur de l’entreprise et qu’ils impliquent une maladresse ou une malveillance. «  On doit être certain d’invoquer ou d’exposer des Web Services sûrs, observe Fabrice Hugues, directeur avant-ventes de Software AG pour la France et l’Italie. La mise en place de contrats de services impose des moyens de sécurisation adap- tés, une gestion de tokens d’authentification et des outils de suivi des protocoles, à plus bas niveau. Bee Ware éradique le déni de service, quel que soit le protocole. Grâce au parefeu XML, on sait qu’aucun code d’injection SQL n’est embarqué dans un message. WebMethods agit, pour sa part, au niveau fonctionnel : tel message est-il autorisé à passer ? L’adéqua- tion des deux solutions nous confère une position unique sur le marché. » Avec des règles de sécurité positionnées en un seul et unique point, l’entreprise gagne une vision centralisée de ses compo- sants applicatifs. L’annuaire de services est partagé entre le parefeu XML Bee Ware, la suite WebMethods de Software AG et l’infrastructure : « l’annuaire est un repère essentiel, un point focal pour tous les objets que l’on veut exposer à l’extérieur. Le propriétaire d’un WebService - un responsable CRM par exemple - peut ainsi exposer un service de création de client avec toutes ses contraintes, fonctionnelles et techniques  », illustre Fabrice Hugues. Des règles de sécurité regroupées L’équipement de protection des Web Services de Bee Ware intègre une suite complète de logiciels incluant, le cas échéant, la partie sécurité de WebMethods : « le parefeu XML Bee Ware se présente sous la forme d’une appliance matérielle. Le hard- ware est facile à déployer, très performant. Les mises à jour et l’exploitation sont très simples. C’est intéressant en terme de souplesse et de TCO (coût total de possession), surtout dans un vaste datacenter », note Fabrice Hugues. La gouvernance de l’architecture SOA passe par celle des composants applicatifs. Ainsi, même lorsqu’ils sont déployés chez un prestataire, les Web Services appartiennent toujours à leur propriétaire. Par conséquent, « c’est à l’entreprise de gérer ses propres règles de sécurité, techniques et fonctionnelles, quand bien même l’hébergeur serait impliqué, au niveau de la sécurisation des protocoles », recommande-t-il. • Aligner le socle technique sur la sécurité fonctionnelle L’éditeur de WebMethods a choisi Bee Ware comme expert pour la sécurité des Web Services. Cette association renforce les interactions des clients communs, des protocoles aux processus. En terme d’échanges inter-entreprises (B2B), le mode de communication asynchrone à base de message EDI ou XML a longtemps été retenu. L’essor du e-Commerce puis celui du Cloud computing provoquent de plus en plus d’interactions entre les services. Les applications mobiles sous iOS, Windows Mobile ou Blackberry ouvrent aussi de nouveaux canaux à sécuriser. L’info- gérance des applications professionnelles et les projets SaaS vont accélérer l’adoption du parefeu XML Bee Ware. En effet, ces approches multiplient les échanges avec des tiers, via Internet. L’appliance paramètre, exécute des règles de sécurité puis audite tout ce qui circule. Une fois filtrée, l’information est techniquement valide. Au niveau de l’ESB (Enterprise Service Bus), aucun doute possible : on peut récupérer cette informa- tion. L’écosystème Fabrice Hugues Directeur avant-ventes software ag Paramétrer, exécuter les règles et auditer tout ce qui passe
Page 9 lexique ESB Enterprise Service Bus. Le bus de service d’entreprise aide les applications d’entreprise d’éditeurs distincts à communiquer entre elles. Il s’appuie sur des standards tels que le langage XML, l’interface de programmation JMS (Java Message Service) et les Web Services. REST Representational State Transfer. Ce style d’architecture - orienté ressources - est retenu pour réaliser des applications Web et bâtir des échanges standards entre machines à base de Web Services. SLA Service Level Agreement. L’accord de niveau de service précise, dans un contrat établi entre un prestataire et un client, la qualité de service ainsi que les modalités de performances délivrées. SOA Service Oriented Architecture. Cette architecture de médiation s’appuie sur des composants logiciels ou Web Services pour intégrer entre elles des applications locales ou distantes. SOAP Simple Object Access Protocol. Ce protocole d’appels de procédures à distance, défini initialement par Microsoft et IBM, est une spécification du W3C, le consortium World Wide Web. Il est utilisée dans le cadre d’architectures SOA pour les WS-*. WebService Programme à base de standards ouverts fournissant l’interopérabilité entre des logiciels exécutés sur des plateformes distinctes. Le consommateur de WebService utilise la logique implémentée par le fournisseur de ce composant. WSDL Web Service Description Language. Interface d’accès au Webservice fondée sur le langage XML pour préciser comment communiquer afin d’utiliser le composant logiciel. WS-* Ensemble de spécifications des Web Services. Par exemple, le protocole WS-Security pour appliquer de la sécurité aux Web Services ou encore WS-Policy, WS-Trust... XML Extensible Markup Language. Ce langage à balises, textuel et structuré, est extensible. Il vise à automatiser les échanges et entre différents systèmes hétérogènes. Bee Ware présente son Web Services Firewall, conçu pour donner aux équipes de sécurité des SI une visibilité nouvelle sur les Web Services. Disponible sous forme d’appliances ou de machines virtuelles, le Web Services Firewall se déploie en mode mandataire ou transparent et permet d’inspecter les flux entrants ou ceux à destination des partenaires. Au delà de son rôle de reconnaissance et d’interception de contenus offensifs, il permet de protéger les fournisseurs et les consommateurs de Web Services contre les aléas qui peuvent perturber la production (incidents réseau, saturation, messages corrompus…) Ses fonctions de monitoring proactif lui permettent d’anticiper les surcharges et de faciliter la continuité des Web Services qu’il protège. Le parefeu XML BEE WARE EN Détails
Livre Blanc Pour assurer la continuité et l’évolution des Web Services, quel que soit le mode de consommation (de l’interne ou depuis l’extérieur), il faut instrumenter l’infrastructure. Le parefeu XML rassure les partenaires lors des échanges numériques. Il garantit la conformité des flux entre serveurs, bloque les attaques et contenus malicieux. C’est un outil de conformité, de traçabilité et d’analyse forensique précieux à l’ère du cloud computing et de l’interconnexion des systèmes d’informations. Pour en savoir plus BEE WARE 20 rue Billancourt 92100 Boulogne Billancourt - France Téléphone : +33 (0)1 74 90 50 90 Fax : +33 (0)4 42 38 28 62 Email : info@bee-ware.net Web : www.bee-ware.net SOFTWARE AG FRANCE Tour Europlaza - 20 avenue André Prothin - La Défense 4 92927 Courbevoie cedex Téléphone : +33 (0)1 78 99 70 00 Fax: +33 (0)1 47 76 32 62 Email : sales.fr@softwareag.com Web : www.softwareag.com Livreblancréalisépar-www.speedfire.com
Tous droits réservés - (C)opyright septembre 2011 - © Bee Ware

Empfohlen

Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécuritéGuillaume Harry
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 

Empfohlen

Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécuritéGuillaume Harry
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications webGuillaume Grégoire
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeNormandie Web Xperts
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Etat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetEtat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetBee_Ware
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéBee_Ware
 

Weitere ähnliche Inhalte

Was ist angesagt?

Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobilesSebastien Gioria
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Marie-Claire Willig
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeNormandie Web Xperts
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 

Was ist angesagt? (20)

Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Owasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouseOwasp top 10 2010 Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 

Andere mochten auch

Etat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetEtat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetBee_Ware
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéBee_Ware
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsBee_Ware
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...TelecomValley
 
Où intégrer les services web (association/event)
Où intégrer les services web (association/event)Où intégrer les services web (association/event)
Où intégrer les services web (association/event)Rémi Thomas
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceBee_Ware
 
Services web RESTful
Services web RESTfulServices web RESTful
Services web RESTfulgoldoraf
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressourceAntoine Pouch
 
Résultats de l'étude sur l'utilisation des réseaux sociaux par les communicants
Résultats de l'étude sur l'utilisation des réseaux sociaux par les communicantsRésultats de l'étude sur l'utilisation des réseaux sociaux par les communicants
Résultats de l'étude sur l'utilisation des réseaux sociaux par les communicantsGuillaume Jarysta
 
Les plateformes de développement des web services
Les plateformes de développement des web servicesLes plateformes de développement des web services
Les plateformes de développement des web servicesoussemos
 
Logiciels et services gratuits utiles en thèse - version 2017
Logiciels et services gratuits utiles en thèse - version 2017Logiciels et services gratuits utiles en thèse - version 2017
Logiciels et services gratuits utiles en thèse - version 2017URFIST de Paris
 

Andere mochten auch (16)

Etat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internetEtat des lieux de la sécurisation des paiements par carte sur internet
Etat des lieux de la sécurisation des paiements par carte sur internet
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
 
Où intégrer les services web (association/event)
Où intégrer les services web (association/event)Où intégrer les services web (association/event)
Où intégrer les services web (association/event)
 
Présentation SOA
Présentation SOAPrésentation SOA
Présentation SOA
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
Services web RESTful
Services web RESTfulServices web RESTful
Services web RESTful
 
Nagios 3
Nagios 3Nagios 3
Nagios 3
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressource
 
Ter Web Service Intro
Ter Web Service IntroTer Web Service Intro
Ter Web Service Intro
 
Conference Php Web Services
Conference Php Web ServicesConference Php Web Services
Conference Php Web Services
 
Résultats de l'étude sur l'utilisation des réseaux sociaux par les communicants
Résultats de l'étude sur l'utilisation des réseaux sociaux par les communicantsRésultats de l'étude sur l'utilisation des réseaux sociaux par les communicants
Résultats de l'étude sur l'utilisation des réseaux sociaux par les communicants
 
Les plateformes de développement des web services
Les plateformes de développement des web servicesLes plateformes de développement des web services
Les plateformes de développement des web services
 
Logiciels et services gratuits utiles en thèse - version 2017
Logiciels et services gratuits utiles en thèse - version 2017Logiciels et services gratuits utiles en thèse - version 2017
Logiciels et services gratuits utiles en thèse - version 2017
 

Ähnlich wie White paper - La sécurisation des web services

Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
Impacts technologiques de la gouvernance de l'information
Impacts technologiques de la gouvernance de l'informationImpacts technologiques de la gouvernance de l'information
Impacts technologiques de la gouvernance de l'informationClaude Super
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoExaprobe
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...Club Alliances
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 ABC Systemes
 
Exodata, un Managed Service Provider à ultra-haute valeur ajoutée
Exodata, un Managed Service Provider à ultra-haute valeur ajoutéeExodata, un Managed Service Provider à ultra-haute valeur ajoutée
Exodata, un Managed Service Provider à ultra-haute valeur ajoutéeExodata
 
Conference MicroServices101 - 1ere partie
Conference MicroServices101 - 1ere partieConference MicroServices101 - 1ere partie
Conference MicroServices101 - 1ere partieZenika
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprisesIshakHAMEDDAH
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 

Ähnlich wie White paper - La sécurisation des web services (20)

Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Impacts technologiques de la gouvernance de l'information
Impacts technologiques de la gouvernance de l'informationImpacts technologiques de la gouvernance de l'information
Impacts technologiques de la gouvernance de l'information
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015 Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS - 13 oct 2015
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Offre de service
Offre de serviceOffre de service
Offre de service
 
Exodata, un Managed Service Provider à ultra-haute valeur ajoutée
Exodata, un Managed Service Provider à ultra-haute valeur ajoutéeExodata, un Managed Service Provider à ultra-haute valeur ajoutée
Exodata, un Managed Service Provider à ultra-haute valeur ajoutée
 
Conference MicroServices101 - 1ere partie
Conference MicroServices101 - 1ere partieConference MicroServices101 - 1ere partie
Conference MicroServices101 - 1ere partie
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Glossaire_mai_2023.pdf
Glossaire_mai_2023.pdfGlossaire_mai_2023.pdf
Glossaire_mai_2023.pdf
 
Glossaire_mai_2023.pdf
Glossaire_mai_2023.pdfGlossaire_mai_2023.pdf
Glossaire_mai_2023.pdf
 
Cloud computing et les entreprises
Cloud computing et les entreprisesCloud computing et les entreprises
Cloud computing et les entreprises
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
IBM Datapower
IBM DatapowerIBM Datapower
IBM Datapower
 

Mehr von Bee_Ware

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape reportBee_Ware
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challengesBee_Ware
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends studyBee_Ware
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance reportBee_Ware
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudBee_Ware
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Bee_Ware
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBee_Ware
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Bee_Ware
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Bee_Ware
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to goBee_Ware
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAMBee_Ware
 
Websense security prediction 2014
Websense security prediction 2014Websense security prediction 2014
Websense security prediction 2014Bee_Ware
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesBee_Ware
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security SurveyBee_Ware
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013Bee_Ware
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Bee_Ware
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - FranceBee_Ware
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysisBee_Ware
 

Mehr von Bee_Ware (20)

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
 
Websense security prediction 2014
Websense security prediction 2014Websense security prediction 2014
Websense security prediction 2014
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - France
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis
 

White paper - La sécurisation des web services

  • 1. La sécurisation des Web Services Livre Blanc
  • 2.
  • 3. Le parefeu XML sécurise les échanges entre applications Livre Blanc L’entreprise gagne à soigner l’interopérabilité de ses applications si elle veut croiser ses informations, enrichir ses analyses et conquérir de nouveaux marchés. Dans ce contexte, l’infrastructure Web Services devient un enjeu crucial. Elle figure au centre de l’interconnexion des systèmes d’informations et des migrations actuelles vers le cloud computing. De nouveaux moyens de protection sont nécessaires pour fournir des interactions continues, des échanges fiables et sécurisés de Web Services, qu’ils soient destinés aux partenaires de l’entreprise ou aux salariés.
  • 4. Page 4 S avez-vous qui exploite réellement vos Web Services ? Lorsque la direction informatique donne le feu vert pour déployer ces composants applicatifs, c’est pour industrialiser des échanges commerciaux avec des partenaires, sans intervention humaine. La DSI provoque des interactions entre deux applications hétérogènes, par exemple pour consulter le stock d’un fournisseur et répondre à une commande en ligne avec une date de livraison pertinente. En coulisse, cette implémentation repose sur plusieurs pro- tocoles et standards, issus du Web et respectant, le plus souvent, l’architecture orientée services SOA (les standards "WS-*"). Les données fournies en réponse à l’invocation du service sont structurées et représentées en langage XML, là où une page HTML répond à une requête HTTP de l’utilisateur d’un navigateur Web. Le hacker, de son côté, cherche à se faire passer pour une ressource applicative, par exemple via un contenu malicieux encapsulé dans un message. Il tente ainsi de sonder les Web Services exposant des données sensibles, pour récupérer des mots de passe ou des références bancaires. D’où l’impor- tance d’identifier soigneusement le deman- deur comme le fournisseur de services. A présent, de nombreux mécanismes d’intrusions se répandent sur Inter- net ; des boîtes à outils détectent les dernières vulnérabilités applicatives. D’autres défis attendent l’exploitant des Web Services. Qu’il soit hébergeur des serveurs d’applications ou responsable de la production informatique interne, il doit garantir une disponi- bilité continue de chaque module communicant. Il s’organise donc pour diminuer les interventions en cas d’attaque malveil- lante, de maladresse d’un développeur ou d’un administrateur. Comment ? En sélectionnant les outils et les procédures rédui- sant les délais de maintenance, en anticipant les intrusions, en filtrant les messages et en corrigeant les erreurs. Garantir la disponibilité du service La sécurisation des flux de machine à machine devient une priorité pour tous ceux qui exposent des Web Services à leurs partenaires. Ils doivent garantir un niveau de disponibilité et un niveau de conformité constant, le plus élevé possible. Or, les défenses actuelles suivent un schéma dépassé, sur trois niveaux. La plupart offrent un périmètre renforcé, nécessaire mais insuffisant. Il faut passer du correctif logiciel à une ré- flexion architecturale, prévenir le déni de service, anticiper les attaques, détecter l’origine précise du problème, puis le résoudre rapidement. Naturellement, on ne va pas demander aux yeux humains de surveiller chaque flux de données émis par le Web Service. Une nouvelle automatisation doit intervenir au sein d’un équi- pement intelligent, fiable, simple à configurer et évolutif. • Sans surveillance, les Web Services restent vulnérables Les hackers ne se contentent pas d’infiltrer les réseaux. Ils découvrent de nouvelles failles applicatives chaque jour. Et ils en profitent pour intercepter des données sensibles. Parmi les attaques répandues sur le niveau applicatif, l’injection de requêtes SQL permet de de dérober des données confidentielles. L’injection de requêtes sur l’annuaire LDAP peut servir à usurper les droits de l’administrateur, pour prendre la main sur une res- source partagée, un équipement ou un WebService. Les scripts d’interception de données figurent dans de nombreux kits d’attaques. Certains exploitent le format, l’enveloppe, ou le message XML. D’autres ciblent le parseur XML qui analyse les messages transmis. Une infrastructure web non sécurisée expose les serveurs à de multiples vulnérabilités comme le déni de service, le détournement de service, la prise de contrôle à distance, le vol ou l’effacement de données. Il faut protéger les web services tout comme on a protégé en leur temps les applications web. Un outil comme le pare-feu applicatif doit avoir son pendant dans le référentiel des web services. Agile, polyvalent, ce « pare-feu XML » permet d’analyser les messages XML et leur contexte, tout comme les pare-feu l’ont fait pour les requêtes HTTP standard. La problématique Les Web Services évoluent en milieu hostile. Que fait-on pour les sécuriser ? <?xml version=»1.0» encoding=»UTF-8»?>        <kml xmlns=»http://earth.google.com/kml/2.0»>    <Response>        <name>rue de la chimie, saint martin d’hères</name>        <Status>            <code>200</code>            <request>geocode</request>        </Status>        <Placemark id=»p1»>            <address>rue de la chimie, 38400 Saint martin d’hères, France</address>
  • 5. Page 5 L e portefeuille applicatif de l’entreprise évolue vers un univers de services hétérogènes. Il se compose d’un nombre croissant d’applications SaaS (Software as a Service) accessibles à la demande. Les développements intranet et les applications métiers cohabitent fréquemment derrière un portail Web. Au final, un nombre croissant de Web Services sont consommés en interne. D’autres composants semblables sont exposés aux partenaires de l’entreprise. Cette tendance s’accentue avec la dématéria- lisation des procédures, avec le commerce électronique, avec les réseaux sociaux et les places de marché sur Internet. Relever des défis critiques Le rôle du parefeu XML est donc critique. D’une part, pour garantir la disponibilité et la conformité des flux XML, et d’autre part pour alerter l’administrateur avant et pendant une attaque, une panne ou une défaillance de Web Services. Prenons un exemple concret. Lorsqu’un internaute commande un produit sur le site web de l’entreprise, l’application mar- chande lui présente un bon de commande dont les informations proviennent de plusieurs modules intégrés. En arrière-plan, les serveurs d’applications invoquent plusieurs Web Services. Dès qu’elle procède aux premiers échanges automatisés, l’entre- prise doit maintenir une chaîne cohérente, stable et sécuri- sée. Elle doit analyser les comportements de chaque module applicatif, sonder plusieurs niveaux de protocoles réseaux et web, inspecter les fichiers retournés par chaque composant, indépendamment du langage de développement. Le sas de sécurité historique - la DMZ - n’est plus l’unique point de contrôle nécessaire et suffisant. De même, le pare- feu réseau perd de son intérêt lorsque les communications basculent vers le protocole HTTP sur SSL, court-circuitant tout filtrage de bas niveau pour l’accès aux ressources réseau. Le pare-feu XML et ses nombreuses fonctionnalités apportent une instrumentation adaptée aux besoins actuels de sécurisa- tion des interactions. Il filtre ainsi de façon simple et efficace tous les flux de données. Conscient de l’état du réseau, cet équipement matériel facilite le dialogue entre administrateurs (applicatif, système, réseaux) et RSSI (responsable de la sécu- rité du système d’information). Les analyses fournies par le pare-feu XML mettent fin aux contentieux éventuels. L’entreprise y gagne une disponibilité de services continue. Elle peut garantir la conformité de ses échanges automatisés, de machine à machine. Ses incidents applicatifs ne se reproduisent plus sans fin. • Anticiper l’attaque, inspecter les flux, délivrer les preuves Avant, pendant et après l’incident, le parefeu XML surveille, filtre et trace les flux de données. Ses algorithmes d’inspection et d’analyse procurent une défense et un reporting précieux. Première étape, le parefeu XML intervient, de façon préventive, en orchestrant les moyens de sécurité mis à sa disposition. Il aide à préparer, puis à valider des règles d’accès sécurisés. Il recense les Web Services puis procède au diagnostic de niveau de sécurité de chaque composant. Il permet aux développeurs de s’assurer, de manière transparente, que leur travail est conforme à la politique de sécurité des Web Services de l’entreprise. Une fois déployé, conscient du contexte, il filtre les messages échangés en temps réel. S’il détecte un incident ou une intrusion, il bloque à temps les conte- nus suspects, même si le type d’attaque n’a jamais été rencontré jusque là. Il surveille les performances des Web Services, s’assure que ceux-ci sont disponibles et vont le demeurer. En cas d’alerte, ou suite à une dégradation de perfor- mances, ses réponses sont également précieuses. Le parefeu XML apporte une analyse qui aide à comprendre pourquoi un WebService ne répond plus ou bien trop lentement. Grâce aux rapports qu’il délivre, l’administra- teur peut remonter la trace des échanges jusqu’à trouver l’origine du problème. La méthodologie « Le parefeu XML enrichit considérablement la sécurité des Web Services, en particulier pour les transactions financières, les échanges de données privées ou relatives à la propriété intellectuelle » (source : Gartner 2011) Une protection en trois phases
  • 6. Page 6 L e parefeu XML renforce les ressources applicatives et les interactions entre applications. De son côté, le parefeu réseau filtre les accès aux équipements du réseau. Les deux dispositifs sont complémentaires. L’un comme l’autre doivent être configurés pour faire respecter la politique de sécurité de l’entre- prise, chacun à leur niveau. Les Web Services délivrent des données à l’intérieur de l’entreprise aussi bien que vers l’extérieur. Par conséquent, le parefeu XML Bee Ware applique des règles de sécurité distinctes, selon l’emploi, interne ou externe, des modules appli- catifs surveillés. Conscient de la topologie du réseau physique, il sait communiquer avec les dispositifs actifs de l’infrastruc- ture, pour révéler, en cas d’indisponibilité du service, l’origine du dysfonctionnement. Des Web Services intégralement suivis Une fois installé, l’équipement dédié surveille les flux échangés entre les serveurs d’applications Web, le contenu des mes- sages (XML/SOAP, REST) et des attachements. Conforme aux derniers standards, le parefeu XML Bee Ware protège chaque WebService en examinant tout son éco-système. En cas d’interruption ou de dégradation de service, il prévient l’ad- ministrateur que le niveau de service est altéré, précisant le module en cause et le segment de réseau concerné. Les fonctions de reporting et de suivi visuel de l’activité apportent une visibilité nouvelle aux responsables de l’exploitation et de la sécurité informatique. Le boîtier analyse, à la volée, les scripts encapsulés et propose une réaction immédiate. Il bloque ainsi les attaques en déni de service et garan- tit que les données fournies par le WebService sont toujours intactes et conformes au format attendu. L’exécution de règles de sécurité contribue à détecter les comportements suspects et les scripts malicieux. Chaque Web Service est pro- tégé dans son contexte d’utilisation. L’appliance Bee Ware se déploie de manière adaptable, en mode reverse proxy ou transparent proxy. Cela permet un routage applicatif granulaire vers les applications autorisées, internes comme externes. Bee Ware renforce ainsi les canaux de communication intra-entreprise et inter-entreprises. En pratique, le parefeu XML Bee Ware rejoint très rapidement le site de production informatique ou bien le datacenter de l’hébergeur lorsque les traitements sont externalisés. Il n’y a pas de plateforme serveur à commander ni à configurer, aucune installation ni aucune mise à niveau manuelle à gérer pour renforcer les Web Services. En option, le parefeu XML Bee Ware est disponible sous forme d’appliance virtuelle VMware. • Le parefeu XML Bee Ware apporte une visibilité nouvelle Conforme aux derniers standards des Web Services, simple à porter et à exploiter, le parefeu XML Bee Ware rejoint tous les sites sensibles. Il protège les applications internes et externes. Un flux de données XML peut concerner plusieurs par- tenaires à la fois, chacun exigeant son propre niveau de sécurité. De l’authentification à la signature électronique, en passant par les fichiers attachés, le parefeu XML Bee Ware garantit que toutes les informations sensibles sont sécurisées, chiffrées avec le bon algorithme, conformé- ment aux applications et aux politiques de sécurité des partenaires. « Des portions de message peuvent être chiffrées différemment, car chaque application du par- tenaire captera une partie seulement du message. Notre parefeu XML assure le suivi et la conformité de telles interactions », précise Jérôme Clauzade, le responsable produit de Bee Ware. La réponse technologique Jérôme Clauzade Responsable Produit Bee ware france Une inspection fine et précise des messages <?xml version=»1.0» encoding=»UTF-8»?>        <kml xmlns=»http://earth.google.com/kml/2.0»>    <Response>        <name>rue de la chimie, saint martin d’hères</name>        <Status>            <code>200</code>            <request>geocode</request>        </Status>        <Placemark id=»p1»>            <address>rue de la chimie, 38400 Saint martin d’hères, France</address>            <AddressDetails Accuracy=»6» xmlns=»urn:oasis:names:tc:ciq:xsdschema:xAL:2.0»>                <Country>                    <CountryNameCode>FR</CountryNameCode>                    <CountryName>France</CountryName>                    <AdministrativeArea>                        <AdministrativeAreaName>Rhône-Alpes</AdministrativeAreaName>                        <SubAdministrativeArea>                            <SubAdministrativeAreaName>Isère</SubAdministrativeAreaName>                            <Locality>                                <LocalityName>Saint martin d’hères</LocalityName>                                <Thoroughfare>                                    <ThoroughfareName>Chemin de Malanot</ThoroughfareName>                                </Thoroughfare>                                <PostalCode>                                    <PostalCodeNumber>38400</PostalCodeNumber>                                </PostalCode>                            </Locality>                        </SubAdministrativeArea>                    </AdministrativeArea> <?xml version=»1.0» encod    <kml xmlns=»http://eart    <Response>        <name>rue de la chimi        <Status>            <code>200</code>            <request>geocode</        </Status>        <Placemark id=»p1»>            <address>rue de la c            <AddressDetails Accu                <Country>                    <CountryNameCo                    <CountryName>F                    <AdministrativeA                        <Administrativ                        <SubAdministr                            <SubAdminis                            <Locality>                                <LocalityNa                                <Thorough                                    <Thoroug                                </Thorough                                <PostalCod                                    <PostalCo                                </PostalCod                            </Locality>                        </SubAdminist                    </Administrative
  • 7. Page 7 Une configuration adaptée au contexte de chaque lien QoS R Réseaux privés Internet Applications internes R&D Utilisateur Partenaire Fournisseur Entreprise 1 2 2 3 4 1 Adoption des standards de sécurité L’intégration de la sécurité dans l’envi- ronnement de développement des Web Services permet de réduire les délais de publication. La R&D et la Production parlent le même langage sécurité • 2 Protection et routage Les Web Services publiés vers l’entre- prise ou vers Internet requièrent une analyse en profondeur des messages, tant les technologies employées sont diverses et potentiellement exploitables. Le support des standards est indispen- sable (XML, RESTful, JSON, etc.) pour l’inspection et le routage applicatif • 3 Qualité de service Les messages en direction des par- tenaires sont validés par le pare-feu XML afin de s’assurer que leur format et leur fréquence ne vont pas acciden- tellement perturber le Web Service du partenaire • 4 Continuité de service Le pare-feu XML garantit la disponibi- lité des Web Services pour les parte- naires en les assurant qu’un incident de production de l’un d’entre eux (bug, surcharge accidentelle) ne va perturber l’ensemble du service • Le déploiement
  • 8. Page 8 S oftware AG est un éditeur Européen spécialisé dans l’intégration des partenaires et dans la modernisa- tion du système d’informations. Sa suite de logiciels prend en charge la modélisation et l’exécution des processus métiers de l’entreprise en s’appuyant sur une architecture SOA, un bus de services et un référentiel unique : l’annuaire de services. C’est autour de cet annuaire, précieux pour l’ouverture du système aux partenaires, que démarre la relation avec l’équi- pementier Français Bee Ware. Il s’agit de sécuriser les Web Services exposés, de protéger le système contre les attaques et les risques principaux, qu’ils viennent de l’extérieur comme de l’intérieur de l’entreprise et qu’ils impliquent une maladresse ou une malveillance. «  On doit être certain d’invoquer ou d’exposer des Web Services sûrs, observe Fabrice Hugues, directeur avant-ventes de Software AG pour la France et l’Italie. La mise en place de contrats de services impose des moyens de sécurisation adap- tés, une gestion de tokens d’authentification et des outils de suivi des protocoles, à plus bas niveau. Bee Ware éradique le déni de service, quel que soit le protocole. Grâce au parefeu XML, on sait qu’aucun code d’injection SQL n’est embarqué dans un message. WebMethods agit, pour sa part, au niveau fonctionnel : tel message est-il autorisé à passer ? L’adéqua- tion des deux solutions nous confère une position unique sur le marché. » Avec des règles de sécurité positionnées en un seul et unique point, l’entreprise gagne une vision centralisée de ses compo- sants applicatifs. L’annuaire de services est partagé entre le parefeu XML Bee Ware, la suite WebMethods de Software AG et l’infrastructure : « l’annuaire est un repère essentiel, un point focal pour tous les objets que l’on veut exposer à l’extérieur. Le propriétaire d’un WebService - un responsable CRM par exemple - peut ainsi exposer un service de création de client avec toutes ses contraintes, fonctionnelles et techniques  », illustre Fabrice Hugues. Des règles de sécurité regroupées L’équipement de protection des Web Services de Bee Ware intègre une suite complète de logiciels incluant, le cas échéant, la partie sécurité de WebMethods : « le parefeu XML Bee Ware se présente sous la forme d’une appliance matérielle. Le hard- ware est facile à déployer, très performant. Les mises à jour et l’exploitation sont très simples. C’est intéressant en terme de souplesse et de TCO (coût total de possession), surtout dans un vaste datacenter », note Fabrice Hugues. La gouvernance de l’architecture SOA passe par celle des composants applicatifs. Ainsi, même lorsqu’ils sont déployés chez un prestataire, les Web Services appartiennent toujours à leur propriétaire. Par conséquent, « c’est à l’entreprise de gérer ses propres règles de sécurité, techniques et fonctionnelles, quand bien même l’hébergeur serait impliqué, au niveau de la sécurisation des protocoles », recommande-t-il. • Aligner le socle technique sur la sécurité fonctionnelle L’éditeur de WebMethods a choisi Bee Ware comme expert pour la sécurité des Web Services. Cette association renforce les interactions des clients communs, des protocoles aux processus. En terme d’échanges inter-entreprises (B2B), le mode de communication asynchrone à base de message EDI ou XML a longtemps été retenu. L’essor du e-Commerce puis celui du Cloud computing provoquent de plus en plus d’interactions entre les services. Les applications mobiles sous iOS, Windows Mobile ou Blackberry ouvrent aussi de nouveaux canaux à sécuriser. L’info- gérance des applications professionnelles et les projets SaaS vont accélérer l’adoption du parefeu XML Bee Ware. En effet, ces approches multiplient les échanges avec des tiers, via Internet. L’appliance paramètre, exécute des règles de sécurité puis audite tout ce qui circule. Une fois filtrée, l’information est techniquement valide. Au niveau de l’ESB (Enterprise Service Bus), aucun doute possible : on peut récupérer cette informa- tion. L’écosystème Fabrice Hugues Directeur avant-ventes software ag Paramétrer, exécuter les règles et auditer tout ce qui passe
  • 9. Page 9 lexique ESB Enterprise Service Bus. Le bus de service d’entreprise aide les applications d’entreprise d’éditeurs distincts à communiquer entre elles. Il s’appuie sur des standards tels que le langage XML, l’interface de programmation JMS (Java Message Service) et les Web Services. REST Representational State Transfer. Ce style d’architecture - orienté ressources - est retenu pour réaliser des applications Web et bâtir des échanges standards entre machines à base de Web Services. SLA Service Level Agreement. L’accord de niveau de service précise, dans un contrat établi entre un prestataire et un client, la qualité de service ainsi que les modalités de performances délivrées. SOA Service Oriented Architecture. Cette architecture de médiation s’appuie sur des composants logiciels ou Web Services pour intégrer entre elles des applications locales ou distantes. SOAP Simple Object Access Protocol. Ce protocole d’appels de procédures à distance, défini initialement par Microsoft et IBM, est une spécification du W3C, le consortium World Wide Web. Il est utilisée dans le cadre d’architectures SOA pour les WS-*. WebService Programme à base de standards ouverts fournissant l’interopérabilité entre des logiciels exécutés sur des plateformes distinctes. Le consommateur de WebService utilise la logique implémentée par le fournisseur de ce composant. WSDL Web Service Description Language. Interface d’accès au Webservice fondée sur le langage XML pour préciser comment communiquer afin d’utiliser le composant logiciel. WS-* Ensemble de spécifications des Web Services. Par exemple, le protocole WS-Security pour appliquer de la sécurité aux Web Services ou encore WS-Policy, WS-Trust... XML Extensible Markup Language. Ce langage à balises, textuel et structuré, est extensible. Il vise à automatiser les échanges et entre différents systèmes hétérogènes. Bee Ware présente son Web Services Firewall, conçu pour donner aux équipes de sécurité des SI une visibilité nouvelle sur les Web Services. Disponible sous forme d’appliances ou de machines virtuelles, le Web Services Firewall se déploie en mode mandataire ou transparent et permet d’inspecter les flux entrants ou ceux à destination des partenaires. Au delà de son rôle de reconnaissance et d’interception de contenus offensifs, il permet de protéger les fournisseurs et les consommateurs de Web Services contre les aléas qui peuvent perturber la production (incidents réseau, saturation, messages corrompus…) Ses fonctions de monitoring proactif lui permettent d’anticiper les surcharges et de faciliter la continuité des Web Services qu’il protège. Le parefeu XML BEE WARE EN Détails
  • 10. Livre Blanc Pour assurer la continuité et l’évolution des Web Services, quel que soit le mode de consommation (de l’interne ou depuis l’extérieur), il faut instrumenter l’infrastructure. Le parefeu XML rassure les partenaires lors des échanges numériques. Il garantit la conformité des flux entre serveurs, bloque les attaques et contenus malicieux. C’est un outil de conformité, de traçabilité et d’analyse forensique précieux à l’ère du cloud computing et de l’interconnexion des systèmes d’informations. Pour en savoir plus BEE WARE 20 rue Billancourt 92100 Boulogne Billancourt - France Téléphone : +33 (0)1 74 90 50 90 Fax : +33 (0)4 42 38 28 62 Email : info@bee-ware.net Web : www.bee-ware.net SOFTWARE AG FRANCE Tour Europlaza - 20 avenue André Prothin - La Défense 4 92927 Courbevoie cedex Téléphone : +33 (0)1 78 99 70 00 Fax: +33 (0)1 47 76 32 62 Email : sales.fr@softwareag.com Web : www.softwareag.com Livreblancréalisépar-www.speedfire.com
  • 11.
  • 12. Tous droits réservés - (C)opyright septembre 2011 - © Bee Ware