Quelle place occupe la sécurité dans vos applications ?

Quelle place occupe la sécurité dans vos applications ?
Elle ne serait pas une priorité pour un nombre important de développeurs

La sécurité est un aspect important dans le cycle de développement d’une application, surtout si celle-ci est critique. Vu les risques auxquels peut s'exposer une application, la sécurité est un impératif majeur pour les fournisseurs de logiciels.

Cependant, il semblerait que les développeurs accordent peu de place à la sécurité lors de la conception des logiciels.

C’est en tout cas ce qu’affirme une étude de comScore, commandée par Microsoft. L’étude a été menée auprès de 4 500 développeurs et professionnels de l’IT au Brésil, Canada, Chine, Allemagne, Inde, Japon, Russie, Royaume-Uni et États-Unis.

D’après l’étude, plus de 40 % des développeurs logiciels interrogés ont déclaré que la sécurité n’était pas une priorité pour eux. Un pourcentage similaire a déclaré ne pas utiliser un processus de programmation d’application sécurisée.

Les raisons évoquées par plusieurs développeurs selon comScore sont : les couts de la prise en charge de la sécurité (21 % des répondants), le manque de support et de formation (26 %) et plus sérieusement le manque de discussion sur le sujet (46 %).

Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.

http://www.developpez.com/public/ima...ecurityapp.jpg

Le rapport souligne également que très peu de développeurs ont recours à des processus sécurisés pour le développement comme SDL (Security Development Lifecycle), OpenSAMM (guide ouvert permettant d’améliorer la sécurité dans le développement d’applications) ou encore Homeland Security Build Security In.

SDL de Microsoft décrit le cycle de développement d’une sécurité fiable d’une application, pouvant résister à des attaques malveillantes. La plateforme SDL propose des outils gratuits, des ressources et des conseils pour développer une application sécurisée, ainsi que des modèles de processus SDL.

Selon Microsoft, la mise ne place d’un processus SDL en plus de mettre l’application à l’abri des attaques, permet également une réduction des couts.


Source : TechNet


Et vous ?

:fleche: Que place occupe la sécurité dans votre application ?

:fleche: Utilisez-vous des processus sécurisés comme SDL ?

Que place occupe la sécurité dans votre application ?
Très importante: toutes nos applications publiques sont auditées par une société externe.
On prend l'habitude de prendre compte des bonnes pratiques de sécurité évoquées lors des rapports d'audit.

Utilisez-vous des processus sécurisés comme SDL ?
Pas SDL, mais des bonnes pratiques enrichies par les audits de sécurité

Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Le temps : Tout développeur connait les nouveaux projets qui sont à finir pour la veille. En ayant si peu de temps, la sécurité est un élément qui passe souvent à la trappe parce que long à développer.

Les connaissances : Dans les boites dans lesquelles je suis passé, ils embauchaient souvent des stagiaires, eux-mêmes formés par d'autres stagiaires. Dans 99% des cas, ces stagiaires n'ont aucune notion de sécurité, donc n'apprennent pas d'eux-mêmes à la développer, et après 5 années d'expérience ne sécurisent toujours pas parce qu'ils ne l'ont simplement pas appris, et forment d'autres stagiaires mais pas à la sécurité.

Citation:

---

Envoyé par Bisûnûrs

Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Le temps : Tout développeur connait les nouveaux projets qui sont à finir pour la veille. En ayant si peu de temps, la sécurité est un élément qui passe souvent à la trappe parce que long à développer.

Les connaissances : Dans les boites dans lesquelles je suis passé, ils embauchaient souvent des stagiaires, eux-mêmes formés par d'autres stagiaires. Dans 99% des cas, ces stagiaires n'ont aucune notion de sécurité, donc n'apprennent pas d'eux-mêmes à la développer, et après 5 années d'expérience ne sécurisent toujours pas parce qu'ils ne l'ont simplement pas appris, et forment d'autres stagiaires mais pas à la sécurité.

---

:ccool: je ne peux qu'approuver, ce sont bien les 2 raisons principales qui font que...

Citation:

---

Envoyé par Hinault Romaric

Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.

---

Je ne vois pas la correspondance entre ce qui est écris dans l'article est ce qui est présent sur le graphe, je croyais que c'était plutôt un autre constat sur l'article original, mais ce n'est pas le cas.

Sauf si ces pourcentages viennent d'un autre diagramme, mais pour l'Inde c'est 69% au lieu de 79% et le Bresil 71% au lieu de 77%. S'il y a bien un pays dont les développeurs battent le record en matière d'accord d'importance sur la sécurité c'est bien la Chine avec 74%, suivi par l’Allemagne avec 72% et après vient le Brezil.

[troll ON]
Quand tu vois la place des US que ce que tu peux dire 8O.

Après ils vont dire qu'ils ne veulent pas acheter les systèmes du constructeur chinois Huawei en craignant des failles de sécurités. S'il y a bien quelqu'un qui méritent donner des leçons sur la sécurité c'est bien la Chine.

J'ai bien compris maintenant un commentaire qui disait que possible que les produits de Huawei ne laissent pas de trous que PRISM peut pas passer par.
[/troll OFF]

Citation:

---

Qu'elle place occupe la sécurité dans vos applications ?

---

Le nombre de réponses à cette rubrique exprime bien l'engouement que suscite la sécurité dans les applis.

Il est vrai que la plupart des developpeurs ne s'y attardent pas trop en sécurité.
Il y'a une semaine j'ai vu une base de données bancaire avec des mots de passes non chiffrés.
D'autres developpeurs pensent souvent qu'il suffit de chiffrer un mot de passe en MD5 par exemple pour que leurs applications soit sécurisés.
Disons que c'est une erreur et beaucoup d'ignorance.Quelques fois le MOA accordent plus d'importance sur les fonctionnalités du système que sur la sécurité proprement dite.
D'ailleurs que lors du recrutement des développeurs on ne s'y attarde pas et en plus les entreprises ne prennent pas le temps de former leurs dévéloppeurs en sécurité informatique.

Citation:

---

Envoyé par Bisûnûrs

Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

---

Les connaissances sont à mon avis le principal problème et je mettrait ma main au feu que c'est également le cas dans certaines des entreprises qui disent accorder une place importante à la sécurité. Les bonnes pratiques sont utiles et aides à augmenter la sécurité des applications, mais les appliquer sans une bonne compréhension des risques qu'elles ont pour but de mitiger amène très souvent des situations semblables à celle d'un chirurgien qui enfilerait une paire de gant de ski avant d'entrer au bloc. Il ne suffit pas de prendre conscience du problème et de prendre des mesures, encore faut-il que celles-ci soient adaptées.

Si tous les acteurs du développement étaient réellement sachants de la problématique de la sécurité et des conséquences éventuelles, il n'y aurait probablement aucun problème de temps, mais même avec plus de temps, il n'est pas certain que tous les développeurs, même tout-à-fait compétent par ailleurs, soient capables d'appréhender cette problématique.

La raison principale que la sécurité ne joue pas d'une grande place dans beaucoup de développements est simplement le manque de temps.

Respecter le planning est déjà une tâche ardue et si on ajoute la sécurité ça fait des mois en plus.

Citation:

---

Envoyé par Johnny P.

Respecter le planning est déjà une tâche ardue et si on ajoute la sécurité ça fait des mois en plus.

---

Voilà qui illustre parfaitement mon propos. La sécurité n'est pas "un truc en plus" que l'on ne considère que s'il reste du temps. S'il y a une réelle conscience des implication de la sécurité chez *tous* les acteurs du développement et pas uniquement chez les développeurs, celle-ci est non seulement prise en compte dans le planning, mais elle est importante et prioritaire.

Cela étant dit, lorsque l'on voit la place qu'occupe parfois la sécurité dans l'industrie l'agro-alimentaire ou même pharmaceutique, je pense que les statistiques de l'industrie logicielle ne sont pas si mauvaises. Il semble bien que pour beaucoup de responsable de ces industries, la sécurité consiste surtout à engager une armée de mercenaire pour la protection des locaux et une armée d'avocats pour la protection des brevets.

La notion de sécurité de programme m'étant totalement inconnue, je dirais les connaissances manque cruellement au développeur.

Quelqu'un pourrait m'éclairer sur ce concept?
Es-ce un métier en particulier la sécurité?

Citation:

---

Selon l'étude, les développeurs de l'Inde (79 %) et du Brésil (77 %) accordent plus d'importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.

---

Sérieusement, les indiens seraient plus compétent que nous :aie:

Pourtant les développements expatriés ont rarement des retours positifs.

@orwel
J'avais initié un topic sur le sujet il y a quelques temps http://www.developpez.net/forums/d13...lications-web/
Mais ça reste un manque important critique pour les applications web publiques :(

Pour moi c'est un métier à part entière la sécurité informatique.

Et à part utiliser des API déjà sécurisée, c'est à une personne spécialisée dans la sécurité de faire de revues de codes à ce sujet et d'émettre des préconisations à destination des développeurs de l'équipe à laquelle il appartient.

Et si le budget n'a pas été prévu, ben la sécurité sera moins efficace car je doute que les développeurs lisent les tonnes d'alertes sur telle ou telle faille, ils vont plutôt faire de la veille technologique sur le monde du développement.

Pour moi (simple utilisateur), une appli sécurisée est primordiale!

Il serait dommage pour l'utilisateur que via une appli non sécurisée les intrus puissent avoir accès à des loggs, des mots de passe ou des fichiers importants malgré une protection réseau basique ou moyenne.

Le processus SDL, pour moi certainement pas, d'abord parce que je n'utilise Windows que pour le jeu, ensuite parce que lorsqu’un pirate a trouvé la faille du SDL, il pourra utiliser cette même faille pour toutes les applis bénéficiant de ce processus.

Hum, je ne fais plus de développement d'application depuis longtemps mais du développement web, et la première chose que je sécurise est le serveur :mrgreen:

Citation:

---

Envoyé par dasdeb

Hum, je ne fais plus de développement d'application depuis longtemps mais du développement web, et la première chose que je sécurise est le serveur :mrgreen:

---

Effectivement il ne faut pas oublier: de cacher la bannière de son serveur apache (la version peut aider à trouver des failles) ainsi que de rendre muet le système de log d'erreur.

Mais la sécurisation passe beaucoup par l'application (xsrf/xss/sql injection...)

Si la sécurité est prise en compte dans tout le cycle de développement des applications, comme le préconisent SDL ou OpenSAMM, je suis convaincu qu'elle ne coûte pas beaucoup plus cher. Microsoft prétend même des gains de coût.

Impossible? Je ne le pense pas. Il est en effet connu que corriger une erreur logicielle coute d'autant plus cher qu'elle apparait tard dans le cycle de développement. Utiliser les outils de SDL (comme les abuse cases ou le threat modelling) permet de découvrir des failles possibles dès la conception du logiciel. Ce sont autant de bogues que les utilisateurs de vos applications ne seront pas forcés de subir.

A côté de SDL et OpenSAMM, il existe également BSIMM. Trois méthodologies semblables. Mettre en place l'une d'entre elles est à mon avis indispensable à moyen terme.

Perso, j'essaie toujours de blindé un max les controles, parce qu'avec l'équipe de commerciaux qui utilisent mes programmes, j'ai plutôt intérêt à passer plus e temps à développer sûr qu'à passer derrière eux

est toujours zappée, et pas considérée par le management. Il n'y a ni le temps, et souvent ni les compétences et la motivation pour cela.

Après plus de 20 ans de pratique dans la conception et le développement avec de multiples langages dans de multiples domaines, je n' ai que très rarement vu des programmes bien conçus, bien architecturés et du code bien fait. La documentation comme la sureté et la sécurité est un luxe que les clients ne veulent pas payer.
La plupart du temps c'est programme devraient être jetés aux ordures et être refait et conçu par des seniors.

Bonjour,


Je rejoins ce qui a été dit auparavant (temps, connaissances, utilisations abusives de stagiaires...)

Développeur amateur depuis des années, j'ai cependant des applications dans mes cartons qui m'ont demandé beaucoup de temps et que j'espère pouvoir passer un jour au niveau sinon commercial du moins avec licence gratuite et de fonctionalités graduelles pour une licence payante...

N'étant pas à fond dans l'informatique, puisque j'ai changé de métier, j'ai tendance à me dire que la protection que j'envisage est destinée à des utilisations abusives contre les copies et donc je mets des sécurités simples qui décourageront les "surfeurs du Dimanche" qui ne veulent pas prendre la peine de demander une licence et refusent de s'inscrire...

Je considère que je n'ai pas les compétences pour faire face à des hackers professionnels, même si je connais des techniques de gestion de mots de passe et de chiffrement...

D'ailleurs, j'avais contacté à l'époque, des Sociétés informatiques pour qu'ils m'aident à protéger mes logiciels, mais il fallait que je leur fournisse tout le souce et prenaient très chers (c'était il y a dix ans). Maintenant il y a peut être d'autres possibilités...

Citation:

---

Perso, j'essaie toujours de blindé un max les controles, parce qu'avec l'équipe de commerciaux qui utilisent mes programmes, j'ai plutôt intérêt à passer plus e temps à développer sûr qu'à passer derrière eux

---

ça, c'est ce qui me parait indispensable! Et c'est déjà un sacré boulot. J'ai expérimenté cette année un nouveau programme pégagogique interactif avec mes étudiants. C'était une version Alpha et donc les étudiants avaient accès à mes ressources documentaires (fichiers textes) alimentant en réalité une base de donnée que j'avais pas encore protégée...

J'étais surpris (les étudiants aiment le jeu n'est-ce pas!) de voir qu'ils arrivaient à bloquer mes procédures malgré les nombreuses sécurités dans les tests dans le code...

Je serais intéressé pour des solutions simples et pas chères pour gérer par exemple des numéros de licence. J'avais développé un petit programme à l'époque qui marchait mais c'étaient pour mes Bêtastesteurs et amis qui se frotaient au logiciel...

Bonne journée