Il faut considérer la sécurité dès l'amorce de la conception d'une application, c'est-à -dire la phase des exigences. Pour cela, il faut qu'un point au moins de la liste des exigences concerne la sécurité. Supposons que vous écriviez une application destinée à prendre des commandes client sur le Web. L'application pourrait
Considérations de conception
avoir, entre
autres, les exigences suivantes :
• L’information sur la carte de crédit
ne peut pas être compromise.
• Les systèmes hérités (là où sont stockées
les commandes et les informations
sur la situation) ne sont pas directement
accessibles sur Internet.
• Seuls des utilisateurs autorisés peuvent
passer des commandes et les
commandes doivent enregistrer
chaque utilisateur ayant travaillé sur
elles.
• L’authentification de l’utilisateur est
toujours nécessaire et doit expirer
après une courte période d’inactivité.
Bien que ces exigences ne dénotent
pas spécifiquement la sécurité,
elles en soulignent la nécessité. Le fait
de stipuler que l’information sur la
carte de crédit ne saurait être compromise,
obligera à ouvrir une discussion
sur la manière d’y parvenir (par
exemple : peut-être les données doivent-
elles être cryptées ou stockées sur
le système hérité plutôt que sur le
serveur Web). Diverses approches doivent être considérées, avec leurs
avantages et inconvénients, jusqu’à ce
que l’on trouve celle qui répond le
mieux aux exigences.
Ensuite, intégrez la sécurité dans
votre modèle de conception d’application.
C’est ce qu’IBM a fait pendant des
années avec l’iSeries pour parvenir à
une telle sécurité dans tout l’OS/400.
Chaque chef d’équipe OS/400 doit réfléchir
à un ensemble de points de
conception de sécurité chaque fois
que le code OS/400 que le chef
d’équipe connaît, fait l’objet d’une
amélioration ou d’un changement.
Voici quelques-unes des questions
à inclure dans le modèle de conception
d’application :
• Qui utilisera l’application ?
• Quelle est le modèle d’autorisation
utilisé ?
• Quel profil utilisateur possède
l’application ?
• Quel profil exécute l’application ?
• L’application doit-elle adopter, ou
passer à , un profil « puissant » et, si
oui, pour quelles fonctions ?
En obligeant le concepteur de l’application
à répondre à ces questions,
vous pouvez imposer une discussion
sur le concept de sécurité lors d’une
revue de conception et vous assurer
que les exigences sont satisfaites. Vous
devez aussi fournir une documentation
montrant les choix de sécurité et
les concessions faites.
Développons quelques-unes de
ces questions de conception.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- IBM i célèbre ses 25 ans
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Activer la mise en veille prolongée dans Windows 10
- Cybersécurité Active Directory et les attaques de nouvelle génération
