Wordpress, Drupal, Joomla, Typo3 sont des CMS (Content Management Systems) qui ont révolutionné le web en permettant de simplement publier du contenu ...

A l’occasion de la publication de la version 2021 du référentiel des risques des applications web OWASP Top10, il nous a semblé judicieux de partager ce que l’audit, le développement, la maintenance applicative et la sécurisation de centaines de sites basés sur des CMS sur plus d’une décennie nous ont appris.

Cette dernière décennie a ouvert la voie à la révolution DevOps. Les nouvelles versions des logiciels et des applications sont dorénavant des process, avec un nouveau code déployé en continu. Pendant ce temps, les équipes DevOps se sont affranchies de l'approche traditionnelle cloisonnée, et assument une plus grande partie du cycle de développement, y compris les tests de qualité, l'intégration et le déploiement. Cependant, malgré ce changement, il reste un élément majeur dans l’approche DevOps qui est la sécurité.

La conteneurisation permet d’aller beaucoup plus vite dans la livraison d’applications et de nouvelles fonctionnalités, et de plus en plus d’entreprises adoptent aujourd’hui cette technologie pour gagner en flexibilité et en agilité. Mais cette réactivité et cette capacité d’adaptation ne sont pas sans contrepartie, notamment en termes de cybersécurité.

Voici pourquoi les fonctions de sécurité natives des conteneurs ne suffisent pas à lutter contre les nouvelles vulnérabilités et vecteurs de menaces.

Les limites des sandbox : l’isolation n’est pas parfaite.