Quelle place occupe la sécurité dans vos applications ?
Elle ne serait pas une priorité pour un nombre important de développeurs

Le , par Hinault Romaric, Responsable Actualités
La sécurité est un aspect important dans le cycle de développement d’une application, surtout si celle-ci est critique. Vu les risques auxquels peut s'exposer une application, la sécurité est un impératif majeur pour les fournisseurs de logiciels.

Cependant, il semblerait que les développeurs accordent peu de place à la sécurité lors de la conception des logiciels.

C’est en tout cas ce qu’affirme une étude de comScore, commandée par Microsoft. L’étude a été menée auprès de 4 500 développeurs et professionnels de l’IT au Brésil, Canada, Chine, Allemagne, Inde, Japon, Russie, Royaume-Uni et États-Unis.

D’après l’étude, plus de 40 % des développeurs logiciels interrogés ont déclaré que la sécurité n’était pas une priorité pour eux. Un pourcentage similaire a déclaré ne pas utiliser un processus de programmation d’application sécurisée.

Les raisons évoquées par plusieurs développeurs selon comScore sont : les couts de la prise en charge de la sécurité (21 % des répondants), le manque de support et de formation (26 %) et plus sérieusement le manque de discussion sur le sujet (46 %).

Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.


Le rapport souligne également que très peu de développeurs ont recours à des processus sécurisés pour le développement comme SDL (Security Development Lifecycle), OpenSAMM (guide ouvert permettant d’améliorer la sécurité dans le développement d’applications) ou encore Homeland Security Build Security In.

SDL de Microsoft décrit le cycle de développement d’une sécurité fiable d’une application, pouvant résister à des attaques malveillantes. La plateforme SDL propose des outils gratuits, des ressources et des conseils pour développer une application sécurisée, ainsi que des modèles de processus SDL.

Selon Microsoft, la mise ne place d’un processus SDL en plus de mettre l’application à l’abri des attaques, permet également une réduction des couts.

Source : TechNet

Et vous ?

Que place occupe la sécurité dans votre application ?

Utilisez-vous des processus sécurisés comme SDL ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de imikado imikado
http://www.developpez.com
Rédacteur
le 18/07/2013 18:11
Que place occupe la sécurité dans votre application ?
Très importante: toutes nos applications publiques sont auditées par une société externe.
On prend l'habitude de prendre compte des bonnes pratiques de sécurité évoquées lors des rapports d'audit.

Utilisez-vous des processus sécurisés comme SDL ?
Pas SDL, mais des bonnes pratiques enrichies par les audits de sécurité
Avatar de Bisûnûrs Bisûnûrs
http://www.developpez.com
Modérateur
le 18/07/2013 18:12
Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Le temps : Tout développeur connait les nouveaux projets qui sont à finir pour la veille. En ayant si peu de temps, la sécurité est un élément qui passe souvent à la trappe parce que long à développer.

Les connaissances : Dans les boites dans lesquelles je suis passé, ils embauchaient souvent des stagiaires, eux-mêmes formés par d'autres stagiaires. Dans 99% des cas, ces stagiaires n'ont aucune notion de sécurité, donc n'apprennent pas d'eux-mêmes à la développer, et après 5 années d'expérience ne sécurisent toujours pas parce qu'ils ne l'ont simplement pas appris, et forment d'autres stagiaires mais pas à la sécurité.
Avatar de cedxgx cedxgx
http://www.developpez.com
Futur Membre du Club
le 18/07/2013 18:26
Citation Envoyé par Bisûnûrs  Voir le message
Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Le temps : Tout développeur connait les nouveaux projets qui sont à finir pour la veille. En ayant si peu de temps, la sécurité est un élément qui passe souvent à la trappe parce que long à développer.

Les connaissances : Dans les boites dans lesquelles je suis passé, ils embauchaient souvent des stagiaires, eux-mêmes formés par d'autres stagiaires. Dans 99% des cas, ces stagiaires n'ont aucune notion de sécurité, donc n'apprennent pas d'eux-mêmes à la développer, et après 5 années d'expérience ne sécurisent toujours pas parce qu'ils ne l'ont simplement pas appris, et forment d'autres stagiaires mais pas à la sécurité.

je ne peux qu'approuver, ce sont bien les 2 raisons principales qui font que...
Avatar de la.lune la.lune
http://www.developpez.com
Membre Expert
le 19/07/2013 3:06
Citation Envoyé par Hinault Romaric  Voir le message
Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.

Je ne vois pas la correspondance entre ce qui est écris dans l'article est ce qui est présent sur le graphe, je croyais que c'était plutôt un autre constat sur l'article original, mais ce n'est pas le cas.

Sauf si ces pourcentages viennent d'un autre diagramme, mais pour l'Inde c'est 69% au lieu de 79% et le Bresil 71% au lieu de 77%. S'il y a bien un pays dont les développeurs battent le record en matière d'accord d'importance sur la sécurité c'est bien la Chine avec 74%, suivi par l’Allemagne avec 72% et après vient le Brezil.

[troll ON]
Quand tu vois la place des US que ce que tu peux dire .

Après ils vont dire qu'ils ne veulent pas acheter les systèmes du constructeur chinois Huawei en craignant des failles de sécurités. S'il y a bien quelqu'un qui méritent donner des leçons sur la sécurité c'est bien la Chine.

J'ai bien compris maintenant un commentaire qui disait que possible que les produits de Huawei ne laissent pas de trous que PRISM peut pas passer par.
[/troll OFF]
Avatar de salve34 salve34
http://www.developpez.com
Membre régulier
le 19/07/2013 10:35
Qu'elle place occupe la sécurité dans vos applications ?

Le nombre de réponses à cette rubrique exprime bien l'engouement que suscite la sécurité dans les applis.
Avatar de bruneltouopi bruneltouopi
http://www.developpez.com
Membre éclairé
le 19/07/2013 12:17
Il est vrai que la plupart des developpeurs ne s'y attardent pas trop en sécurité.
Il y'a une semaine j'ai vu une base de données bancaire avec des mots de passes non chiffrés.
D'autres developpeurs pensent souvent qu'il suffit de chiffrer un mot de passe en MD5 par exemple pour que leurs applications soit sécurisés.
Disons que c'est une erreur et beaucoup d'ignorance.Quelques fois le MOA accordent plus d'importance sur les fonctionnalités du système que sur la sécurité proprement dite.
D'ailleurs que lors du recrutement des développeurs on ne s'y attarde pas et en plus les entreprises ne prennent pas le temps de former leurs dévéloppeurs en sécurité informatique.
Avatar de ptah35 ptah35
http://www.developpez.com
Membre chevronné
le 19/07/2013 22:17
Citation Envoyé par Bisûnûrs  Voir le message
Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Les connaissances sont à mon avis le principal problème et je mettrait ma main au feu que c'est également le cas dans certaines des entreprises qui disent accorder une place importante à la sécurité. Les bonnes pratiques sont utiles et aides à augmenter la sécurité des applications, mais les appliquer sans une bonne compréhension des risques qu'elles ont pour but de mitiger amène très souvent des situations semblables à celle d'un chirurgien qui enfilerait une paire de gant de ski avant d'entrer au bloc. Il ne suffit pas de prendre conscience du problème et de prendre des mesures, encore faut-il que celles-ci soient adaptées.

Si tous les acteurs du développement étaient réellement sachants de la problématique de la sécurité et des conséquences éventuelles, il n'y aurait probablement aucun problème de temps, mais même avec plus de temps, il n'est pas certain que tous les développeurs, même tout-à-fait compétent par ailleurs, soient capables d'appréhender cette problématique.
Avatar de Johnny P. Johnny P.
http://www.developpez.com
Membre actif
le 20/07/2013 8:45
La raison principale que la sécurité ne joue pas d'une grande place dans beaucoup de développements est simplement le manque de temps.

Respecter le planning est déjà une tâche ardue et si on ajoute la sécurité ça fait des mois en plus.
Avatar de ptah35 ptah35
http://www.developpez.com
Membre chevronné
le 21/07/2013 11:04
Citation Envoyé par Johnny P.  Voir le message
Respecter le planning est déjà une tâche ardue et si on ajoute la sécurité ça fait des mois en plus.

Voilà qui illustre parfaitement mon propos. La sécurité n'est pas "un truc en plus" que l'on ne considère que s'il reste du temps. S'il y a une réelle conscience des implication de la sécurité chez *tous* les acteurs du développement et pas uniquement chez les développeurs, celle-ci est non seulement prise en compte dans le planning, mais elle est importante et prioritaire.

Cela étant dit, lorsque l'on voit la place qu'occupe parfois la sécurité dans l'industrie l'agro-alimentaire ou même pharmaceutique, je pense que les statistiques de l'industrie logicielle ne sont pas si mauvaises. Il semble bien que pour beaucoup de responsable de ces industries, la sécurité consiste surtout à engager une armée de mercenaire pour la protection des locaux et une armée d'avocats pour la protection des brevets.
Avatar de Orwel Orwel
http://www.developpez.com
Membre du Club
le 21/07/2013 11:19
La notion de sécurité de programme m'étant totalement inconnue, je dirais les connaissances manque cruellement au développeur.

Quelqu'un pourrait m'éclairer sur ce concept?
Es-ce un métier en particulier la sécurité?

Selon l'étude, les développeurs de l'Inde (79 %) et du Brésil (77 %) accordent plus d'importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.

Sérieusement, les indiens seraient plus compétent que nous

Pourtant les développements expatriés ont rarement des retours positifs.
Offres d'emploi IT
Leader Technique C++ H/F
CDI
Sogeti HT - Région Est - Provence Alpes Côte d'Azur - sophia antipolis (06000)
Parue le 11/09/2014
Développeur c/c++ qt et .net
CDD CDI
EZNOV - Lorraine - Metz (57000)
Parue le 05/09/2014
développeur php5 zend h/f
CDI
JG CONSEIL RH SASU - Rhône Alpes - Lyon (69000)
Parue le 21/09/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula