Sommaire

Les différents axes de sécurisation d’une application web

Les applications web font entièrement partie du système d’information des organisations, et certaines applications sont d’ailleurs centrales dans une entreprise. C’est le cas des pure players, dont les affaires tournent autour de leur application web et mobile, comme les boutiques en ligne, réseaux sociaux, médias web et startups. D’autres organisations ayant des applications métier indispensables aux besoins de leur business doivent aussi se concentrer sur la sécurité et prendre en compte dans leur périmètre les applications web.

Sécuriser une application web passe par des contrôles techniques, mais pas uniquement. En effet, la prise en compte des besoins en sécurité de l’entreprise, l’analyse de risque, la formation et la surveillance doivent se faire avant toute mise en place de test de pénétration ou contrôle technique en tout genre. Cela se nomme parfois l’approche top-bottom, qui signifie que les éléments à intégrer en premier sont généralement liés au management pour arriver ensuite au technique, le tout appelé cycle de développement sécurisé ou S-SDLC en anglais (Secure Software Development Life Cycle).

images/01EP08.png

Mais que contient un cycle de développement sécurisé ? Dans la plupart des approches aidant à la conception du S-SDLC, les premières ...