Il faut considérer la sécurité dès l'amorce de la conception d'une application, c'est-à -dire la phase des exigences. Pour cela, il faut qu'un point au moins de la liste des exigences concerne la sécurité. Supposons que vous écriviez une application destinée à prendre des commandes client sur le Web. L'application pourrait
Considérations de conception
avoir, entre
autres, les exigences suivantes :
• L’information sur la carte de crédit
ne peut pas être compromise.
• Les systèmes hérités (là où sont stockées
les commandes et les informations
sur la situation) ne sont pas directement
accessibles sur Internet.
• Seuls des utilisateurs autorisés peuvent
passer des commandes et les
commandes doivent enregistrer
chaque utilisateur ayant travaillé sur
elles.
• L’authentification de l’utilisateur est
toujours nécessaire et doit expirer
après une courte période d’inactivité.
Bien que ces exigences ne dénotent
pas spécifiquement la sécurité,
elles en soulignent la nécessité. Le fait
de stipuler que l’information sur la
carte de crédit ne saurait être compromise,
obligera à ouvrir une discussion
sur la manière d’y parvenir (par
exemple : peut-être les données doivent-
elles être cryptées ou stockées sur
le système hérité plutôt que sur le
serveur Web). Diverses approches doivent être considérées, avec leurs
avantages et inconvénients, jusqu’à ce
que l’on trouve celle qui répond le
mieux aux exigences.
Ensuite, intégrez la sécurité dans
votre modèle de conception d’application.
C’est ce qu’IBM a fait pendant des
années avec l’iSeries pour parvenir à
une telle sécurité dans tout l’OS/400.
Chaque chef d’équipe OS/400 doit réfléchir
à un ensemble de points de
conception de sécurité chaque fois
que le code OS/400 que le chef
d’équipe connaît, fait l’objet d’une
amélioration ou d’un changement.
Voici quelques-unes des questions
à inclure dans le modèle de conception
d’application :
• Qui utilisera l’application ?
• Quelle est le modèle d’autorisation
utilisé ?
• Quel profil utilisateur possède
l’application ?
• Quel profil exécute l’application ?
• L’application doit-elle adopter, ou
passer à , un profil « puissant » et, si
oui, pour quelles fonctions ?
En obligeant le concepteur de l’application
à répondre à ces questions,
vous pouvez imposer une discussion
sur le concept de sécurité lors d’une
revue de conception et vous assurer
que les exigences sont satisfaites. Vous
devez aussi fournir une documentation
montrant les choix de sécurité et
les concessions faites.
Développons quelques-unes de
ces questions de conception.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Fraude par identité synthétique : comment l’IA peut redonner confiance aux entreprises et à leurs clients
- VirtualBrowser protège la navigation web à la source
- Innovation et performance : le rôle clé du consulting dans la transformation numérique
- Sekoia.io : l’alternative européenne qui s’impose dans la cybersécurité
Articles les + lus
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
À la une de la chaîne Tech
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
