Security by design : quel est le rôle du développeur ?

La security by design désigne un ensemble de dispositifs de sécurité informatique intégrés directement dans le code même d’une application, d’un logiciel ou d’un site afin de réduire considérablement la surface d’attaque, les failles de sécurité et les accès dangereux. C’est une démarche préventive qui fortifie le produit numérique contre les attaques depuis la conception. Il est vrai que cette approche n’est pas le seul rempart contre les logiciels malveillants (le serveur, le système antivirus, etc.), cependant le développeur peut aider à éviter facilement certaines failles importantes, notamment :

• le contrôle d’accès cassé ;
• la violation de gestion d’authentification ;
• l’exposition de données sensibles ;
• la mauvaise configuration de sécurité ;
• l’utilisation de composants avec des vulnérabilités connues ;
• la gestion de log insuffisante et de monitoring…

Lorsque ces failles sont détectées depuis la programmation, OWASP, une communauté en ligne travaillant sur la sécurité des applications Web, propose des solutions comme le paramétrage des requêtes, la mise en place de bons contrôles d’accès, l’implémentation des contrôles d’indentification et d’authentification…pour se parer contre d’éventuelles attaques.

Très souvent, les développeurs minimisent le facteur de la sécurité lors de la conception d’une application soit par manque de temps ou par désintérêt. Mais il est important de rappeler qu’un code non sécurisé à la conception sera très difficile à l’être après, puisqu’il faut reprendre l’ensemble du travail, un processus lent et très long. C’est pareil pour un code legacy non sécurisé ou encore un code dont la documentation technique n’est pas à jour ou n’existe pas. C’est pourquoi actuellement, un grand nombre d’acteurs encourage l’approche security by design pour proposer des plateformes moins vulnérables aux cyber-attaques.

Découvrez notre bachelor informatique pour évoluer rapidement dans le secteur de la sécurité informatique.