L’éditeur français Bee Ware propose sur la marketplace AWS un firewall applicatif permettant de protéger les serveurs web déployés chez l’opérateur cloud américain.
Sécurité des applications sur le cloud Amazon
Microsoft, IBM ou Google. Aucun de ces grands noms de la technologie ne parvient à égaler les revenus cloud d’Amazon sur les marchés très convoités du IaaS (Infrastructure-as-a-Service) et du PaaS (Platform-as-a-Service). Le géant du e-commerce a su largement imposer ses offres AWS (Amazon Web Services) et affirme compter aujourd’hui plusieurs centaines de milliers de clients dans 190 pays. Au deuxième trimestre, les services cloud d’Amazon ont généré plus de 600 millions de dollars de chiffre d’affaires. Mais la plateforme n’est pas parfaite.
Sécurité des applications sur le cloud Amazon
Si la solidité de l’infrastructure peut être difficilement contestée, malgré quelques pannes comme celles que l’on a pu observer cet été, il est un point sur lequel la plateforme apparaît perfectible. « Lorsqu’Amazon présente ses capacités de sécurité, elle met en avant la protection de son infrastructure mais évacue complètement la sécurité applicative », souligne Jérôme Clauzade, Directeur produit chez Bee Ware. L’éditeur français travaille depuis dix ans sur la protection des applications web et s’intéresse aujourd’hui de très près aux serveurs applicatifs déployés dans le cloud. « À partir du moment où vous publiez une application sur la plateforme Amazon, vous profitez effectivement de nombreux équipements qui assure la robustesse de l’infrastructure mais celle-ci est ouverte sur le web ».
Les applications web ont pourtant pris aujourd’hui une importance critique dans le business des entreprises. Ces dernières n’hésitent pas à repenser leurs systèmes d’information pour prioriser les flux applicatifs. « Les applications contiennent le métier, le business, explique le responsable, mais surtout redéfinissent l’infrastructure. La cartographie réseau est en train de passer la main à la cartographique applicative. Ce ne sont plus les pare-feu réseau qui cloisonnent le réseau mais les flux applicatifs ».
« Opposer le plus de résistance possible »
Da la même manière que la société est venue compléter les offres de pare-feu traditionnels il y a dix ans, elle propose donc aujourd’hui d’ajouter une couche de sécurité applicative à l’offre Amazon. Son produit, i-Suite 5.5 pour AWS, est un WAF (Web Application Firewall) qui, placé devant le serveur virtuel, va filtrer le trafic de manière à ce que seuls les requêtes et les messages sains parviennent jusqu’à la VM. Disponible sur l’AWS Marketplace depuis le 10 novembre dernier à partir de 350 dollars par mois, la suite comprend un firewall applicatif qui va protéger les applications contre les menaces du web ainsi qu’un pare-feu XML dédié à la protection des services web.
De quoi protéger les serveurs déployés sur Amazon des attaques en déni de service, des injections SQL ou encore du cross-site scripting (XSS). « On sait très bien que les hackers finissent toujours par passer, admet néanmoins Jérôme Clauzade. Si une entreprise est ciblée et que les pirates ont des moyens suffisants, ce n’est qu’une question de temps. Notre métier est d’être pragmatique face à cela et d’opposer le plus de résistance possible ».
La suite Bee Ware embarque également des fonctions WAM (Web Access Management) pour le contrôle et la gestion des accès Web
Via une interface unique, l’administrateur pourra gérer les droits d’accès et réduire le niveau de complexité pour les utilisateurs grâce à la mise en place d’un système SSO (Single Sign-On). L’éditeur montpelliérain s’est concentré sur la facilité de mise en œuvre de son produit afin de garantir l’efficacité de la politique de sécurité. « Tous les produits du marché sont capables de faire le métier. Notre différence vient de la simplicité des outils qui permet d’éviter la mise en œuvre de configurations par défaut ».
Bee Ware travaille en coordination avec Amazon pour le développement de l’offre. La société américaine semble intéressée par un produit qui vient lever un frein chez certaines entreprises encore hésitantes à se tourner vers Amazon, faute de garanties de sécurité. Selon des chiffres publiés en octobre dernier par l’éditeur, la difficulté à sécuriser les applications web est citée par 64 % des entreprises comme un des challenges les plus importants des 12 prochains mois. « La sécurité applicative n’est pas qu’une question de produit, rappelle Jérôme Clauzade. On peut très bien en faire sans WAF : il suffit de développer correctement. Mais même si le développement est réalisé le mieux possible, il ne met pas à l’abri d’une faille sur le serveur Tomcat ou IIS qui héberge l’application », tempère-t-il. L’enjeu est important puisque selon la même étude, 73 % des entreprises ont été piratées au moins une fois via des applications web mal sécurisées.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.