X

3 meilleures pratiques de Développement Web pour bien lancer votre application bancaire ou de finance

Nous voulons vous présenter 3 meilleures pratiques de Développement Web à suivre afin de vous permettre de lancer en toute confiance votre nouvelle application bancaire ou de finance. En fait, nous aurions dû dire 3 meilleures pratiques de Développement web de sécurité pour lancer sans danger votre application bancaire ou de finance !

Doit-on vraiment repasser en revue toutes les menaces de sécurité, attaques en ligne et cas de piratage qui ont eu lieu juste ces 5 dernières années… j’espère que non ?

Toutes les institutions financières et banques ont adopté une politique stricte visant à sécuriser de façon systématique toutes leurs applications web critiques utilisées par leur clientèle. Mais elles devraient tout autant appliquer une politique similaire ciblée sur l’application des meilleures pratiques de développement web d’applications destinées à leur personnel en faisant des choix judicieux et avisés en matière de développement qui répondent aux besoins de sécurité d’aujourd’hui et leur permettront de relever les défis de demain.  Conséquemment, elles doivent identifier minutieusement tous les accès aux bases de données et processus impliqués dans leurs projets d’applications web et évaluer le niveau de risque engendré par chaque type de communication en ligne et groupe d’usagers; idéalement, au stade de développement.

Parce que résoudre un problème de sécurité une fois en production coûte 100 fois plus qu’au stade de développement. Ainsi, tester et découvrir des failles de sécurité au stade du développement sauvera beaucoup de frais et de maux de tête.

Le Cas Java

Ce n’est pas qu’on n’aime pas Java, bien sûr, on l’aime. Mais les vulnérabilités de Java se sont multipliées par 3 depuis 2012. La raison en est que la force de Java est aussi sa faiblesse; vous codez une seule fois et vous déployez partout… il en va de même pour les malfrats. Tenez-en compte !

 

Le Gros Bon Sens

  1. Assurez une bonne formation de codage de sécurité à votre Équipe de Développement Web

La gestion ne le fera peut-être pas mais elle devrait le supporter et payer vos cours et ateliers de formation, on ne saurait assez souligner la nécessité d’acquérir ces connaissances. Votre Équipe de Développement Web devrait être à la fine pointe des connaissances en matière de principes et menaces de sécurité, contre-mesures et techniques de défense. Elle doit connaître les meilleures pratiques de développement web en termes de sécurité. Si ce n’est pas le cas, alors engagez une firme dont l’Équipe de Développement Web l’est.

2. Appliquez des procédures de test de sécurité au cours du Développement Web

Il existe plusieurs solutions de Test de Sécurité sur le marché, bien identifiées par Gartner : les solutions dites Dynamic Application Security Testing (DAST) testent vos applications de « l’extérieur » afin de détecter des vulnérabilités de sécurité. Les solutions Static Application Security Testing (SAST) testent vos applications de « l’intérieur » en analysant votre code source, les bytes et le binaire. Et finalement, les solutions dites Interactive Application Security Testing (IAST) intègrent à la fois les tests de Sécurité Dynamiques et Statiques. Mettez-vous y ou alors engagez une firme dont l’Équipe de Développement est familière avec ces solutions ou procédures.

3. Archivez tous les événements et erreurs significatives lors de votre Développement web

Vous ne pourrez faire une investigation solide et comprendre ce qui s’est passé à moins d’avoir implanté des procédures systématiques d’enregistrement et d’archivage des logs (connexions) et événements. La Gestion ne comprendra pas les bénéfices d’une telle procédure à défaut de prendre le temps de leur en expliquer en détail l’utilité en cas d’attaque ou de faille de sécurité ou encore à l’occasion d’une attaque réelle… auquel cas, il sera peut-être trop tard !

 

Apprenez à Communiquer & Intégrer…

Alors, avant de créer un énorme problème de sécurité parce que les procédures de tests de votre nouvelle application web n’ont été réalisées qu’à la toute fin du cycle de développement web parce que l’équipe de sécurité n’a pas été intégrée au processus de développement web puisqu’elle n’était pas considérée comme un facteur de succès ou encore simplement parce que comme la Gestion ne saisit pas totalement l’ampleur des risques et des répercussions potentielles sur la réputation et les revenus encourus en lançant sur le marché une application web vulnérable, les procédures de tests ont été négligées; établissez des procédures formelles de communication et de tests de sécurité lors du développement web de vos applications en intégrant de façon formelle l’Équipe de Sécurité à votre Équipe de Développement Web.

 

Conclusion

Le monde évolue constamment ainsi que les pratiques de codage de sécurité… et malheureusement, les menaces de sécurité aussi; alors suivez le pas.

La Sécurité n’est pas une mince affaire dans les Banques et les Institutions financières même lorsqu’il est question d’applications web destinées à un usage interne, pour le personnel; alors si votre équipe de Développement Web n’a pas une bonne expertise en sécurité, engagez des experts.

 

Bon Développement Web…

Articles connexes