La sécurité comprend différents éléments. Les entreprises pensent tout d’abord à la gestion des accès et identités, ainsi qu’à la sécurité du réseau et des données, mais elles oublient souvent que les applications d’entreprises en elles-mêmes peuvent constituer une cible pour les hackers. Les récentes attaques contre deux banques belges ont été menées par le biais d’une injection SQL. Il s’agit d’une technique de piratage consistant à insérer des instructions supplémentaires dans le site Internet d’une entreprise.
Les sites Internet utilisent le langage SQL (langage de requêtes structuré) pour stocker des informations clients dans une base de données. Lorsqu’un hacker insère lui-même des instructions en langage SQL dans le site, il prend ainsi le contrôle de la base de données clients qui est en relation avec le site Internet de la victime. Le hacker peut alors franchir une étape supplémentaire et prélever les données clients de cette base de données. Il lui est possible de prendre le contrôle du site Internet ou de détruire les données clients. La nécessité que les entreprises se protègent contre les attaques par injection SQL est l’un des thèmes de la BruCON Security Conference, qui se tiendra les 18 et 19 septembre à Bruxelles. (lien : http://www.brucon.org/index.php/Presentations#SQL_Injection_-_how_far_does_the_rabbit_hole_go.3F)
La meilleure manière de pallier les attaques par injection SQL consiste en la mise en œuvre d’une protection proactive. Lors du développement d’une application, il convient de prendre directement toutes les mesures de précaution nécessaires en matière de sécurité. Belgacom dispose d’un programme de formation dans le cadre duquel les développeurs apprennent comment tester la sécurité des applications. Il existe également des firewalls spéciaux pour les applications Internet qui bloquent les attaques par injection SQL avant qu’elles n’atteignent le site Internet. Ce sont deux exemples de mesures que les organismes financiers belges peuvent mettre en place pour satisfaire à la directive de la CBFA. Celle-ci stipule que chaque organisme doit disposer d’une politique de sécurité actualisée et pertinente. Sur la base de l’ISAMM (Information System Assessment and Monitoring Method), Belgacom a développé une solution correspondant aux prescriptions de la directive de la CBFA.
Les commentaires favoris