Bonjour,
J'espère ne pas me tromper de recoin du forum pour cette question mais je cherche des informations sur ce qu'on pourrait appeler la diligence raisonnable du développeur dans la conception d'applications web.
Par exemple, dans tous les bouquins, on lit qu'il est impératif de ne jamais stocker ni restituer une chaîne de caractère telle qu'elle a été saisie par un utilisateur, donc sans l'avoir nettoyée au passage, et qu'une validation des données coté serveur est indispensable.
De la même manière, on peut s'étonner qu'à notre époque, un développement web commercial ne prévoie pas implicitement le support de la plupart des jeux de caractères alors que le web n'a aucune frontière et que travailler en UTF-8 n'est pas plus coûteux en soi.
Pourtant, je ne trouve aucune norme communément admise par laquelle les développeurs s'engagent, à minima, sur ce genre de choses, que ce soit ou non mentionné au cahier des charges.
C'est d'autant plus étonnant que la jurisprudence en matière de litiges commerciaux portant sur le développement de logiciel entérine déjà ce principe, d'après ce que j'ai pu lire.
Les décisions que j'ai trouvées sont fondées sur l'obligation faite au professionnel de l'informatique d'apporter à son client "néophyte" toute l'information dont ce dernier a besoin. Le client mal informé peut engager la responsabilité du développeur, même en l'absence de cahier des charges ou contrat.
En bref, la fourniture d'un site internet implique une prestation minimale, 'dans les règles de l'art'.
Si on admet ceci, comment fixer avec précision ce minima et trouver un équilibre raisonnable entre laxisme et paranoïa ? Comment savoir si l'on est négligent ou psychorigide ?
Connaissez-vous des standards ou normes largement acceptées ? Avez-vous vécu ou eu connaissance de ce genre de situation ?
De mon coté, en dehors de mon bouquin préféré dans ce domaine ("Sécurité PHP5 et MySql" de d. Seguy et Ph. Gamache) j'ai pu trouver ceci :
- Agence nationale
de la sécurité des
systèmes d'information : Sécurité des applications Web et vulnérabilité de type "injection de données" (cf. point 2.1)
- Clusif : Sécurité des applications web (cf. III.1 , III.5 , IV et V)
Les normes anglophones que j'ai pu trouver portent plutôt sur des fonctions vraiment sensibles comme le paiement en ligne ou la conservation de données personnelles couvertes par un secret professionnel (médical, juridique, confessionnal ? ).
Ces problématiques sont le plus souvent sous-traitées et ne relèvent donc pas de ma question.
Partager