La sécurité ne devrait pas être si effrayante !

Mariko Kosaka
X

Qu'imaginez-vous lorsque quelqu'un parle de "sécurité" ?

Pirates informatiques ? Attaques ? Défenses ? Un programmeur dans un sweat à capuche noir dans une pièce sombre ?

Lorsque le mot "sécurité" vient à l'esprit, il s'agit généralement de mauvaises nouvelles. Vous voyez souvent des titres comme "Un grand réseau social a divulgué des mots de passe de connexion" ou "Un pirate informatique a volé des informations de carte de crédit sur un site d'achat".

Mais la sécurité doit être considérée comme un aspect positif et nécessaire du développement Web, tout comme l'expérience utilisateur ou l'accessibilité.

Images négatives et positives de la sécurité
Un pirate informatique portant un sweat à capuche est une image négative de la sécurité. Une équipe qui travaille ensemble sur un projet est une image positive de la sécurité.

Dans les prochains guides, vous allez découvrir comment protéger votre entreprise et le contenu de vos utilisateurs.

Qu'est-ce qu'une faille de sécurité ?

En développement logiciel, lorsqu'une application ne fonctionne pas comme prévu, on parle de "bug". Il arrive qu'un bug affiche des informations incorrectes ou plante lors d'une certaine action. Une faille (parfois appelée bug de sécurité) est un type de bug qui peut être utilisé à des fins abusives.

Les bugs sont courants dans les activités quotidiennes d'un développeur. Cela signifie que des failles sont également fréquemment introduites dans les applications. L'essentiel est que vous soyez conscient des failles courantes afin de les atténuer autant que possible. C'est comme réduire les autres bugs en suivant des modèles et des techniques courants.

La plupart des techniques de sécurité ne sont que de la bonne programmation, par exemple : - Vérifiez les valeurs saisies par un utilisateur (non nulles, pas de chaîne vide, vérification de la quantité de données). - Assurez-vous qu'un seul utilisateur ne peut pas prendre trop de temps. - Créez des tests unitaires pour éviter que des bugs de sécurité ne se glissent accidentellement.

Qu'est-ce qu'une fonctionnalité de sécurité ?

Vos premières lignes de défense sont les fonctionnalités de sécurité telles que HTTPS et CORS. (Vous en apprendrez plus sur ces acronymes plus tard. Ne vous inquiétez pas pour l'instant.) Par exemple, le chiffrement des données à l'aide du protocole HTTPS ne permet pas de corriger un bug, mais il protège les données que vous échangez avec les utilisateurs auprès d'autres parties. (L'interception des données est une attaque courante.)

Quel est l'impact ?

Lorsqu'une application n'est pas sécurisée, différentes personnes peuvent être affectées.

Impact sur les utilisateurs
  • Des informations sensibles, telles que des données à caractère personnel, peuvent être divulguées ou volées.
  • Le contenu peut être altéré. Un site falsifié peut rediriger les utilisateurs vers un site malveillant.
Impact sur l'application
  • La confiance des utilisateurs peut être perdue.
  • Des pertes d'activité peuvent survenir en raison d'une interruption ou d'une perte de confiance due à une falsification ou à une pénurie de système.
Impact sur d'autres systèmes
  • Une application piratée peut être utilisée pour attaquer d'autres systèmes, par exemple avec une attaque par déni de service à l'aide d'un botnet.

La sécurisation active de votre application est non seulement essentielle pour vous et votre entreprise, mais aussi pour vos utilisateurs, qui sont ainsi protégés, ainsi que d'autres systèmes, contre les attaques lancées depuis votre site.

Conclusion

Félicitations ! Vous êtes à mi-chemin de cette introduction. Vous savez maintenant faire la différence entre les failles de sécurité et les fonctionnalités, et vous savez que votre application n'est pas seulement affectée par les failles de sécurité, mais aussi par tous les autres utilisateurs. Le guide suivant présente en détail les types d'attaques pour rendre la sécurité encore moins effrayante.