> Tech > Considérations de conception

Considérations de conception

Tech - Par iTPro - Publié le 24 juin 2010
email

Il faut considérer la sécurité dès l'amorce de la conception d'une application, c'est-à -dire la phase des exigences. Pour cela, il faut qu'un point au moins de la liste des exigences concerne la sécurité. Supposons que vous écriviez une application destinée à  prendre des commandes client sur le Web. L'application pourrait

avoir, entre
autres, les exigences suivantes :

• L’information sur la carte de crédit
ne peut pas être compromise.

• Les systèmes hérités (là  où sont stockées
les commandes et les informations
sur la situation) ne sont pas directement
accessibles sur Internet.

• Seuls des utilisateurs autorisés peuvent
passer des commandes et les
commandes doivent enregistrer
chaque utilisateur ayant travaillé sur
elles.

• L’authentification de l’utilisateur est
toujours nécessaire et doit expirer
après une courte période d’inactivité.

Bien que ces exigences ne dénotent
pas spécifiquement la sécurité,
elles en soulignent la nécessité. Le fait
de stipuler que l’information sur la
carte de crédit ne saurait être compromise,
obligera à  ouvrir une discussion
sur la manière d’y parvenir (par
exemple : peut-être les données doivent-
elles être cryptées ou stockées sur
le système hérité plutôt que sur le
serveur Web). Diverses approches doivent être considérées, avec leurs
avantages et inconvénients, jusqu’à  ce
que l’on trouve celle qui répond le
mieux aux exigences.

Ensuite, intégrez la sécurité dans
votre modèle de conception d’application.
C’est ce qu’IBM a fait pendant des
années avec l’iSeries pour parvenir à 
une telle sécurité dans tout l’OS/400.
Chaque chef d’équipe OS/400 doit réfléchir
à  un ensemble de points de
conception de sécurité chaque fois
que le code OS/400 que le chef
d’équipe connaît, fait l’objet d’une
amélioration ou d’un changement.

Voici quelques-unes des questions
à  inclure dans le modèle de conception
d’application :

• Qui utilisera l’application ?

• Quelle est le modèle d’autorisation
utilisé ?

• Quel profil utilisateur possède
l’application ?

• Quel profil exécute l’application ?

• L’application doit-elle adopter, ou
passer à , un profil « puissant » et, si
oui, pour quelles fonctions ?

En obligeant le concepteur de l’application
à  répondre à  ces questions,
vous pouvez imposer une discussion
sur le concept de sécurité lors d’une
revue de conception et vous assurer
que les exigences sont satisfaites. Vous
devez aussi fournir une documentation
montrant les choix de sécurité et
les concessions faites.

Développons quelques-unes de
ces questions de conception.

Téléchargez gratuitement cette ressource

*** SMART DSI *** VERSION NUMÉRIQUE

*** SMART DSI *** VERSION NUMÉRIQUE

Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.

Tech - Par iTPro - Publié le 24 juin 2010