Nous voulons vous pr\u00e9senter 3 meilleures pratiques de D\u00e9veloppement Web \u00e0 suivre afin de vous permettre de lancer en toute confiance votre nouvelle application bancaire ou de finance. En fait, nous aurions d\u00fb dire 3 meilleures pratiques de D\u00e9veloppement web de s\u00e9curit\u00e9 pour lancer sans danger votre application bancaire ou de finance !<\/p>\n
Doit-on vraiment repasser en revue toutes les menaces de s\u00e9curit\u00e9, attaques en ligne et cas de piratage qui ont eu lieu juste ces 5 derni\u00e8res ann\u00e9es\u2026 j\u2019esp\u00e8re que non ?<\/p>\n
Toutes les institutions financi\u00e8res et banques ont adopt\u00e9 une politique stricte visant \u00e0 s\u00e9curiser de fa\u00e7on syst\u00e9matique toutes leurs applications web critiques utilis\u00e9es par leur client\u00e8le. Mais elles devraient tout autant appliquer une politique similaire cibl\u00e9e sur l’application des meilleures pratiques de d\u00e9veloppement web d\u2019applications destin\u00e9es \u00e0 leur personnel en faisant des choix judicieux et avis\u00e9s en mati\u00e8re de d\u00e9veloppement qui r\u00e9pondent aux besoins de s\u00e9curit\u00e9 d\u2019aujourd\u2019hui et leur permettront de relever les d\u00e9fis de demain.\u00a0 Cons\u00e9quemment, elles doivent identifier minutieusement tous les acc\u00e8s aux bases de donn\u00e9es et processus impliqu\u00e9s dans leurs projets d\u2019applications web<\/strong> et \u00e9valuer le niveau de risque engendr\u00e9 par chaque type de communication en ligne et groupe d\u2019usagers<\/strong>; id\u00e9alement, au stade de d\u00e9veloppement.<\/p>\n Parce que r\u00e9soudre un probl\u00e8me de s\u00e9curit\u00e9 une fois en production co\u00fbte 100 fois plus qu\u2019au stade de d\u00e9veloppement. Ainsi, tester et d\u00e9couvrir des failles de s\u00e9curit\u00e9 au stade du d\u00e9veloppement sauvera beaucoup de frais et de maux de t\u00eate.<\/p>\n <\/p>\n Le Cas Java<\/strong><\/p>\n Ce n\u2019est pas qu\u2019on n\u2019aime pas Java, bien s\u00fbr, on l\u2019aime. Mais les vuln\u00e9rabilit\u00e9s de Java se sont multipli\u00e9es par 3 depuis 2012. La raison en est que la force de Java est aussi sa faiblesse; vous codez une seule fois et vous d\u00e9ployez partout\u2026 il en va de m\u00eame pour les malfrats. Tenez-en compte !<\/p>\n <\/p>\n Le Gros Bon Sens<\/strong><\/p>\n La gestion ne le fera peut-\u00eatre pas mais elle devrait le supporter et payer vos cours et ateliers de formation, on ne saurait assez souligner la n\u00e9cessit\u00e9 d\u2019acqu\u00e9rir ces connaissances. Votre \u00c9quipe de D\u00e9veloppement Web devrait \u00eatre \u00e0 la fine pointe des connaissances en mati\u00e8re de principes et menaces de s\u00e9curit\u00e9, contre-mesures et techniques de d\u00e9fense. Elle doit conna\u00eetre les meilleures pratiques de d\u00e9veloppement web en termes de s\u00e9curit\u00e9. Si ce n\u2019est pas le cas, alors engagez une firme dont l\u2019\u00c9quipe de D\u00e9veloppement Web l\u2019est.<\/p>\n 2. Appliquez des proc\u00e9dures de test de s\u00e9curit\u00e9 au cours du D\u00e9veloppement Web<\/strong><\/p>\n Il existe plusieurs solutions de Test de S\u00e9curit\u00e9 sur le march\u00e9, bien identifi\u00e9es par Gartner : les solutions dites Dynamic Application Security Testing (DAST) testent vos applications de \u00ab\u00a0l\u2019ext\u00e9rieur\u00a0\u00bb afin de d\u00e9tecter des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9. Les solutions Static Application Security Testing (SAST) testent vos applications de \u00ab\u00a0l\u2019int\u00e9rieur\u00a0\u00bb en analysant votre code source, les bytes et le binaire. Et finalement, les solutions dites Interactive Application Security Testing (IAST) int\u00e8grent \u00e0 la fois les tests de S\u00e9curit\u00e9 Dynamiques et Statiques. Mettez-vous y ou alors engagez une firme dont l\u2019\u00c9quipe de D\u00e9veloppement est famili\u00e8re avec ces solutions ou proc\u00e9dures.<\/p>\n 3. Archivez tous les \u00e9v\u00e9nements et erreurs significatives lors de votre D\u00e9veloppement web<\/strong><\/p>\n Vous ne pourrez faire une investigation solide et comprendre ce qui s\u2019est pass\u00e9 \u00e0 moins d\u2019avoir implant\u00e9 des proc\u00e9dures syst\u00e9matiques d\u2019enregistrement et d\u2019archivage des logs (connexions) et \u00e9v\u00e9nements. La Gestion ne comprendra pas les b\u00e9n\u00e9fices d\u2019une telle proc\u00e9dure \u00e0 d\u00e9faut de prendre le temps de leur en expliquer en d\u00e9tail l\u2019utilit\u00e9 en cas d\u2019attaque ou de faille de s\u00e9curit\u00e9 ou encore \u00e0 l\u2019occasion d\u2019une attaque r\u00e9elle\u2026 auquel cas, il sera peut-\u00eatre trop tard !<\/p>\n <\/p>\n Apprenez \u00e0 Communiquer & Int\u00e9grer\u2026<\/strong><\/p>\n Alors, avant de cr\u00e9er un \u00e9norme probl\u00e8me de s\u00e9curit\u00e9 parce que les proc\u00e9dures de tests de votre nouvelle application web n\u2019ont \u00e9t\u00e9 r\u00e9alis\u00e9es qu\u2019\u00e0 la toute fin du cycle de d\u00e9veloppement web parce que l\u2019\u00e9quipe de s\u00e9curit\u00e9 n\u2019a pas \u00e9t\u00e9 int\u00e9gr\u00e9e au processus de d\u00e9veloppement web puisqu\u2019elle n\u2019\u00e9tait pas consid\u00e9r\u00e9e comme un facteur de succ\u00e8s ou encore simplement parce que comme la Gestion ne saisit pas totalement l\u2019ampleur des risques et des r\u00e9percussions potentielles sur la r\u00e9putation et les revenus encourus en lan\u00e7ant sur le march\u00e9 une application web vuln\u00e9rable, les proc\u00e9dures de tests ont \u00e9t\u00e9 n\u00e9glig\u00e9es; \u00e9tablissez des proc\u00e9dures formelles de communication et de tests de s\u00e9curit\u00e9 lors du d\u00e9veloppement web de vos applications en int\u00e9grant de fa\u00e7on formelle l\u2019\u00c9quipe de S\u00e9curit\u00e9 \u00e0 votre \u00c9quipe de D\u00e9veloppement Web.<\/p>\n <\/p>\n Conclusion<\/strong><\/p>\n Le monde \u00e9volue constamment ainsi que les pratiques de codage de s\u00e9curit\u00e9\u2026 et malheureusement, les menaces de s\u00e9curit\u00e9 aussi; alors suivez le pas.<\/p>\n La S\u00e9curit\u00e9 n\u2019est pas une mince affaire dans les Banques et les Institutions financi\u00e8res m\u00eame lorsqu\u2019il est question d\u2019applications web destin\u00e9es \u00e0 un usage interne, pour le personnel; alors si votre \u00e9quipe de D\u00e9veloppement Web n\u2019a pas une bonne expertise en s\u00e9curit\u00e9, engagez des experts.<\/p>\n <\/p>\n\n