Si les tests d'intrusion et l'audit de code sont le plus souvent l'apanage de cabinets d'audits, le groupe Accor a préféré maintenir en interne une équipe de trois personnes dédiées à la tâche. Une démarche rare qu'est venu présenter Arnaud Treps, expert sécurité chez Accor. C'était hier soir à l'occasion d'une rencontre du Cercle Européen de la Sécurité et des Systèmes d’Information.

"Notre mission consiste pour partie à auditer les applications web de nos prestataires. Car si l'on constate que la sécurité est généralement plutôt maîtrisée du côté des infrastructures, ce n'est pas toujours le cas sur les applications web", explique Arnaud Treps.

Bien entendu, les prestataires n'apprécient pas toujours de subir un tel audit de la part d'un client. "L'un des arguments que nous entendons régulièrement est que c'est inutile car un audit a déjà été réalisé par un spécialiste. Mais nous constatons souvent que celui-ci n'a porté que sur l'architecture réseau et pas du tout sur l'applicatif", confirme Gérard Leymarie, Responsable Sécurité Infrastructures chez Accor.

Il apparaît alors que les vulnérabilités de type cross-site scripting (XSS) ou cross site request forgery (CSRF), ainsi que l'exposition à l'injection SQL seraient courantes, y compris chez des prestataires capables de répondre à un appel d'offre d'un géant tel Accor.

Et la cellule sécurité ne prêche pas dans le vide : le groupe Accor est allé jusqu'à refuser de travailler avec des prestataires qui refusaient un tel audit applicatif.

Pour autant, les pentesters d'Accor n'adoptent pas une attitude d'Ayatollahs. "Nous n'apportons pas une garantie de sécurité mais plutôt une indication sur le niveau de robustesse de l'application. Si celle-ci n'a pas cédé au bout de cinq ou six jours d'attaques, nous estimons qu'un pirate aura de grandes chances d'aller voir ailleurs. Et même si elle cède vers la fin de cette période, nous pouvons être tout de même satisfaits car il y a de bonnes chances que la sécurité réseau ait repéré l'attaque entre temps", précise Arnaud Treps.

Bénéfices cachés pour pentest maison

Si le travail de la cellule maison s'arrêtait toutefois aux seuls tests d'intrusion, le bénéfice d'une telle équipe face à une prestation en mode audit serait difficile à justifier. Mais c'est dans la durée que tout l'intérêt d'une telle initiative se révèle : "le fait que notre équipe soit internalisée permet à nos développeurs d'avoir le réflexe sécurité, d'anticiper les problèmes en venant nous consulter pendant leur développement s'ils ont le moindre doute", reconnaît Arnaud Treps.

Ainsi, disposer d'une vraie expertise sécurité au bout du fil, voire à la machine à café, se révèle être pour Accor un atout dans le cadre de ses développements internes. Car reproduire ce modèle avec un cabinet d'audit extérieur coûterait nécessairement beaucoup plus cher et surtout priverait ses développeurs de l'essentiel : le réflexe "machine à café" !

Enfin, l'équipe de pentesters maison procède également, sur les développements internes, à de la revue de code et assiste ensuite les développeurs dans la correction des erreurs découvertes. "Là aussi, il y a un atout évident à être en interne, car les développeurs ne se sentent pas jugés comme cela pourrait être le cas face à des auditeurs extérieurs", ajoute Arnaud Treps.

Bien entendu, comme le faisait remarquer un RSSI à l'issue de la présentation, il s'agit d'une solution idéale que tout le monde ne pourra se permettre. Mais en ces temps d'externalisation et de everything as a service, l'expérience du groupe montre qu'une internalisation intelligente et justifiée a toujours du sens, et pas toujours où l'on s'y attend le plus.