{"id":4105,"date":"2016-02-24T22:02:47","date_gmt":"2016-02-24T21:02:47","guid":{"rendered":"https:\/\/www.okiok.com\/?p=4105"},"modified":"2022-11-10T09:01:31","modified_gmt":"2022-11-10T14:01:31","slug":"4105-2","status":"publish","type":"post","link":"https:\/\/www.okiok.com\/fr\/4105-2\/","title":{"rendered":"La s\u00e9curit\u00e9 applicative et l’hame\u00e7onnage – Conf\u00e9rence d’OKIOK @ OWASP Montr\u00e9al"},"content":{"rendered":"

Montr\u00e9al, le 24 f\u00e9vrier 2016<\/strong><\/p>\n

OKIOK est ravie d’avoir pr\u00e9sent\u00e9 aujourd’hui\u00a0\u00a0\u00ab\u00a0La s\u00e9curit\u00e9 applicative et l’hame\u00e7onnage\u00a0\u00bb dans le cadre de la conf\u00e9rence organis\u00e9e par OWASP Montr\u00e9al<\/a>.\u00a0En effet, OKIOK avait \u00e9t\u00e9 invit\u00e9e \u00e0 exposer les\u00a0impacts\u00a0li\u00e9s au phishing,<\/em>\u00a0tel que vu et exp\u00e9riment\u00e9 en entreprise ainsi que les plans d’action pour traiter ce risque.<\/strong><\/p>\n

La pr\u00e9sentation a permis de pr\u00e9senter et d\u2019insister sur les liens de causalit\u00e9 et l\u2019approche pragmatique entre la s\u00e9curit\u00e9 des applications et les campagnes d\u2019hame\u00e7onnage. Lors d’une \u00e9tude r\u00e9alis\u00e9e en\u00a02015, l\u2019APWG (Anti Phishing Work Group) d\u00e9nombrait pas moins de 1,3 Million de campagnes d\u2019hame\u00e7onnage uniques. C\u2019est deux fois plus qu\u2019en 2014 et quatre fois plus qu\u2019en 2010.<\/p>\n

La tendance actuelle s\u2019oriente donc une vers une augmentation constante du nombre de courriels frauduleux, en ciblant de plus en plus les entreprises. Liens de redirections, portail web frauduleux, pi\u00e8ce jointe infect\u00e9e et usurpation d\u2019identit\u00e9 sont des exemples d’attaque qui ont \u00e9t\u00e9 abord\u00e9es \u00e0 travers les diff\u00e9rents sc\u00e9narios expos\u00e9s par Alexandre Pieyre et Fran\u00e7ois-Xavier Desmarais, conseillers principaux chez OKIOK.<\/p>\n

Il est important de garder \u00e0 l\u2019esprit que peu importe le niveau de s\u00e9curit\u00e9 de votre application, si une r\u00e9cup\u00e9ration frauduleuse des identifiants s\u2019y rapportant est effectu\u00e9e, votre p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 est vain, et ce principe s\u2019applique tant pour les applications accessibles de l\u2019externe que de l\u2019interne. Que l\u2019on parle de drive-by-download, de Cross Site Request Forgery (CSRF) ou de Email Spoofing, le but commun est de vous amener \u00e0 divulguer ou \u00e0 agir contre les propri\u00e9t\u00e9s d\u2019int\u00e9grit\u00e9 et de confidentialit\u00e9 des actifs informationnels.<\/p>\n

Pour contrer ces menaces et pr\u00e9server la p\u00e9rennit\u00e9 de vos donn\u00e9es, plusieurs recommandations ont \u00e9t\u00e9 \u00e9mises et comprennent\u00a0:<\/p>\n