Naviguer avec TheCodingMachine : des projets web en toute sécurité
Le monde du développement web n’est pas sans danger ! On ne peut pas nécessaiment éviter les pirates mais on peut chercher à s’en défendre. Naviguer avec TheCodingMachine dans ce monde, on prend le sujet très au sérieux et on vous explique comment.
Cet article détaille toute notre démarche, les différentes étapes et précise ce que nous faisons. Embarquez avec nous dans cette aventure où chaque ligne de code est un pas de plus vers le trésor de la sécurité informatique !
L’ISO 27001, notre boussole
Tout bon navigateur a besoin d’une boussole, et c’est là qu’intervient notre norme ISO 27001. Elle est là pour nous guider sur le bon cap, loin des eaux infestées de pirates informatiques. Le document intitulé « Politique de développement informatique sécurisé » fournit un aperçu détaillé des mesures et procédures mises en place par TheCodingMachine pour garantir la sécurité dans le développement de projets informatiques. La gestion et le suivi de cette politique sont assurés via l’outil de gestion de projet Zoho Projects. Des tâches de sécurité spécifiques, comme les audits de code et le suivi des vulnérabilités, sont intégrées automatiquement dans les modèles de projet.
Préparation de la navigation
Dès le début du projet, un responsable de la sécurité est désigné, souvent le chef de projet, accompagné d’un membre de la direction technique. Les premières analyses des points d’attention de sécurité sont effectuées, incluant le contrôle d’accès, la gestion des sessions, le chiffrement, la journalisation, la supervision, et la sensibilité des données.
Dès les premières interactions avec le client, on prépare le voyage : authentification, protection des données, chiffrement.
Cela nous permet de définir le cadre de travail technique : architecture, RGPD, contrôles d’accès (quel “protocole”, quels renforcements), niveau de durcissement applicatif ou encore niveau de durcissement infra. On s’assure que chaque membre de l’équipage connaît son rôle sur le navire. Pas question de naviguer à vue !
En Pleine Mer : Le Développement
C’est en haute mer que l’on peut rencontrer des tempêtes : gestion du code source, choix des outils, revues de code…
La sécurisation du code source est une priorité, avec une sensibilisation régulière aux dix principales vulnérabilités selon l’OWASP.
Le choix des librairies Open-Source prend en compte la sécurité, avec une attention particulière aux mises à jour et à la communauté qui les soutient. Des revues de code systématiques sont effectuées pour garantir la sécurité et la qualité.
On scrute l’horizon pour éviter les récifs cachés des vulnérabilités.
L’atterrissage
Avant la mise en production, on effectue un dernier audit minutieux. On passe au crible les injections SQL, les failles de sécurité…
Il est temps de surveiller les données de production : il ne doit pas y avoir de données de production en préproduction. Si reproduire le problème n’est pas possible, il faut proposer une reproduction ‘en live’ avec lecture des logs en parallèle dans la mesure du possible. En cas de besoin absolu d’importer les données de production en local, une procédure (incluant une validation du client) doit être suivie et il est nécessaire d’envisager l’anonymisation des données (et détruire les données à la fin du processus).
Après la mise en ligne, la surveillance des vulnérabilités permet de maintenir la sécurité de l’application. Par exemple, chez TheCodingMachine, nous utilisons un outil pour vérifier les dépendances (CKC).
Conclusion
Naviguer avec TheCodingMachine, c’est garantir une aventure sécurisée dans les tumultueuses mers du développement web. On vous promet un voyage aussi palpitant qu’une chasse au trésor, avec la certitude de trouver un butin sécurisé et fiable. Alors, prêts à embarquer avec nous ?
Note : si vous êtes intéressés par notre outil de gestion des dépendances (CKC), n’hésitez pas à me contacter.