Vous sous-estimez encore l’importance du Security by Design ?
Dans la chaîne de la sécurité, le développeur a aussi un rôle à jouer. Ce rôle est bien souvent mésestimé, la faute au manque de temps accordé au développeur pour le réaliser dans les meilleures conditions. Pour les entreprises, investir dans la sécurité reste en bas la liste de leurs priorités, alors qu’on le répète mois après mois, et année après année, la vulnérabilité des systèmes d’information doit être considérée comme un enjeu majeur.
Introduire très tôt dans l’écriture du code des bonnes pratiques de sécurité réduit potentiellement les fenêtres d’attaques et pérennise par conséquent l’activité et la croissance de l’entreprise.
L’OWASP ou Open Web Application Security Project apporte des bonnes pratiques dans les développements web, mobile, de logiciels, IoT etc. Elle a dressé un TOP 10 des risques de sécurité liées aux applications web et force est de constaté que 5 des failles retranscrites dans ce TOP 10 de 2017 existaient déjà en 2013. On ne pourra pas dire qu’on ne nous avait pas prévenu. L’une des failles les plus connues et qui est en première position est l’injection de code.
Autres failles : rompre un contrôle d’accès, exposer des données sensibles, une mauvaise gestion des logs et de monitoring ou encore utiliser des composants qui ont des vulnérabilités connus.
Il existe de nombreux outils ainsi que des méthodes pour détecter ces failles.
Best Practices d’OWASP dans le Security by Design
A appliquer durant la phase de développement.
• Effectuer un encodage des données et protéger les données.
• Mettre en place une gestion des logs et surtout effectuer un suivi régulier de ces logs.
• Implémenter la détection d’intrusion.
• Installer des contrôles d’accès efficaces.
• Faire valider toutes les entrées.
Instaurer une routine de vérification de la sécurité le plus tôt possible dans le projet et l’actionner le plus régulièrement possible.
Plus tardivement vous vous rendez compte de failles de sécurité dans votre code, plus cela vous coûtera cher, car le temps de reprendre l’ensemble du code sera plus lent et complexe. Plus tôt vous vous y mettrez et moins cela vous coûtera de l’argent.
Chez Bocasay, nous avons mis en place l’intégration continue dans tous nos projets : tests unitaires, tests fonctionnels. Développer une application non sécurisée revient à construire une maison sur des fondations non solides et donc laisser courir le risque que cette maison s’effondre un jour.
Toutes les news sur les développements de projets informatiques sont ici.
Source : zdnet.fr