IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Quelle place occupe la sécurité dans vos applications ?
Elle ne serait pas une priorité pour un nombre important de développeurs

Le , par Hinault Romaric

12PARTAGES

5  0 
La sécurité est un aspect important dans le cycle de développement d’une application, surtout si celle-ci est critique. Vu les risques auxquels peut s'exposer une application, la sécurité est un impératif majeur pour les fournisseurs de logiciels.

Cependant, il semblerait que les développeurs accordent peu de place à la sécurité lors de la conception des logiciels.

C’est en tout cas ce qu’affirme une étude de comScore, commandée par Microsoft. L’étude a été menée auprès de 4 500 développeurs et professionnels de l’IT au Brésil, Canada, Chine, Allemagne, Inde, Japon, Russie, Royaume-Uni et États-Unis.

D’après l’étude, plus de 40 % des développeurs logiciels interrogés ont déclaré que la sécurité n’était pas une priorité pour eux. Un pourcentage similaire a déclaré ne pas utiliser un processus de programmation d’application sécurisée.

Les raisons évoquées par plusieurs développeurs selon comScore sont : les couts de la prise en charge de la sécurité (21 % des répondants), le manque de support et de formation (26 %) et plus sérieusement le manque de discussion sur le sujet (46 %).

Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.


Le rapport souligne également que très peu de développeurs ont recours à des processus sécurisés pour le développement comme SDL (Security Development Lifecycle), OpenSAMM (guide ouvert permettant d’améliorer la sécurité dans le développement d’applications) ou encore Homeland Security Build Security In.

SDL de Microsoft décrit le cycle de développement d’une sécurité fiable d’une application, pouvant résister à des attaques malveillantes. La plateforme SDL propose des outils gratuits, des ressources et des conseils pour développer une application sécurisée, ainsi que des modèles de processus SDL.

Selon Microsoft, la mise ne place d’un processus SDL en plus de mettre l’application à l’abri des attaques, permet également une réduction des couts.

Source : TechNet

Et vous ?

Que place occupe la sécurité dans votre application ?

Utilisez-vous des processus sécurisés comme SDL ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Bisûnûrs
Modérateur https://www.developpez.com
Le 18/07/2013 à 18:12
Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Le temps : Tout développeur connait les nouveaux projets qui sont à finir pour la veille. En ayant si peu de temps, la sécurité est un élément qui passe souvent à la trappe parce que long à développer.

Les connaissances : Dans les boites dans lesquelles je suis passé, ils embauchaient souvent des stagiaires, eux-mêmes formés par d'autres stagiaires. Dans 99% des cas, ces stagiaires n'ont aucune notion de sécurité, donc n'apprennent pas d'eux-mêmes à la développer, et après 5 années d'expérience ne sécurisent toujours pas parce qu'ils ne l'ont simplement pas appris, et forment d'autres stagiaires mais pas à la sécurité.
6  0 
Avatar de
https://www.developpez.com
Le 18/07/2013 à 18:26
Citation Envoyé par Bisûnûrs Voir le message
Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.

Le temps : Tout développeur connait les nouveaux projets qui sont à finir pour la veille. En ayant si peu de temps, la sécurité est un élément qui passe souvent à la trappe parce que long à développer.

Les connaissances : Dans les boites dans lesquelles je suis passé, ils embauchaient souvent des stagiaires, eux-mêmes formés par d'autres stagiaires. Dans 99% des cas, ces stagiaires n'ont aucune notion de sécurité, donc n'apprennent pas d'eux-mêmes à la développer, et après 5 années d'expérience ne sécurisent toujours pas parce qu'ils ne l'ont simplement pas appris, et forment d'autres stagiaires mais pas à la sécurité.
je ne peux qu'approuver, ce sont bien les 2 raisons principales qui font que...
1  0 
Avatar de salve34
Membre régulier https://www.developpez.com
Le 19/07/2013 à 10:35
Qu'elle place occupe la sécurité dans vos applications ?
Le nombre de réponses à cette rubrique exprime bien l'engouement que suscite la sécurité dans les applis.
1  0 
Avatar de Orwel
Membre du Club https://www.developpez.com
Le 21/07/2013 à 11:19
La notion de sécurité de programme m'étant totalement inconnue, je dirais les connaissances manque cruellement au développeur.

Quelqu'un pourrait m'éclairer sur ce concept?
Es-ce un métier en particulier la sécurité?

Selon l'étude, les développeurs de l'Inde (79 %) et du Brésil (77 %) accordent plus d'importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.
Sérieusement, les indiens seraient plus compétent que nous

Pourtant les développements expatriés ont rarement des retours positifs.
1  0 
Avatar de phili_b
Expert éminent https://www.developpez.com
Le 21/07/2013 à 18:24
Pour moi c'est un métier à part entière la sécurité informatique.

Et à part utiliser des API déjà sécurisée, c'est à une personne spécialisée dans la sécurité de faire de revues de codes à ce sujet et d'émettre des préconisations à destination des développeurs de l'équipe à laquelle il appartient.

Et si le budget n'a pas été prévu, ben la sécurité sera moins efficace car je doute que les développeurs lisent les tonnes d'alertes sur telle ou telle faille, ils vont plutôt faire de la veille technologique sur le monde du développement.
1  0 
Avatar de jmsei
Membre régulier https://www.developpez.com
Le 10/08/2013 à 13:29
est toujours zappée, et pas considérée par le management. Il n'y a ni le temps, et souvent ni les compétences et la motivation pour cela.

Après plus de 20 ans de pratique dans la conception et le développement avec de multiples langages dans de multiples domaines, je n' ai que très rarement vu des programmes bien conçus, bien architecturés et du code bien fait. La documentation comme la sureté et la sécurité est un luxe que les clients ne veulent pas payer.
La plupart du temps c'est programme devraient être jetés aux ordures et être refait et conçu par des seniors.
1  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 18/07/2013 à 18:11
Que place occupe la sécurité dans votre application ?
Très importante: toutes nos applications publiques sont auditées par une société externe.
On prend l'habitude de prendre compte des bonnes pratiques de sécurité évoquées lors des rapports d'audit.

Utilisez-vous des processus sécurisés comme SDL ?
Pas SDL, mais des bonnes pratiques enrichies par les audits de sécurité
0  0 
Avatar de la.lune
Membre chevronné https://www.developpez.com
Le 19/07/2013 à 3:06
Citation Envoyé par Hinault Romaric Voir le message

Selon l’étude, les développeurs de l’Inde (79 %) et du Brésil (77 %) accordent plus d’importance à la sécurité que ceux des autres pays. Aux États-Unis, ils ne sont que 55 % et moins de 33 % au Japon.
Je ne vois pas la correspondance entre ce qui est écris dans l'article est ce qui est présent sur le graphe, je croyais que c'était plutôt un autre constat sur l'article original, mais ce n'est pas le cas.

Sauf si ces pourcentages viennent d'un autre diagramme, mais pour l'Inde c'est 69% au lieu de 79% et le Bresil 71% au lieu de 77%. S'il y a bien un pays dont les développeurs battent le record en matière d'accord d'importance sur la sécurité c'est bien la Chine avec 74%, suivi par l’Allemagne avec 72% et après vient le Brezil.

[troll ON]
Quand tu vois la place des US que ce que tu peux dire .

Après ils vont dire qu'ils ne veulent pas acheter les systèmes du constructeur chinois Huawei en craignant des failles de sécurités. S'il y a bien quelqu'un qui méritent donner des leçons sur la sécurité c'est bien la Chine.

J'ai bien compris maintenant un commentaire qui disait que possible que les produits de Huawei ne laissent pas de trous que PRISM peut pas passer par.
[/troll OFF]
0  0 
Avatar de bruneltouopi
Membre confirmé https://www.developpez.com
Le 19/07/2013 à 12:17
Il est vrai que la plupart des developpeurs ne s'y attardent pas trop en sécurité.
Il y'a une semaine j'ai vu une base de données bancaire avec des mots de passes non chiffrés.
D'autres developpeurs pensent souvent qu'il suffit de chiffrer un mot de passe en MD5 par exemple pour que leurs applications soit sécurisés.
Disons que c'est une erreur et beaucoup d'ignorance.Quelques fois le MOA accordent plus d'importance sur les fonctionnalités du système que sur la sécurité proprement dite.
D'ailleurs que lors du recrutement des développeurs on ne s'y attarde pas et en plus les entreprises ne prennent pas le temps de former leurs dévéloppeurs en sécurité informatique.
0  0 
Avatar de ptah35
Membre éclairé https://www.developpez.com
Le 19/07/2013 à 22:17
Citation Envoyé par Bisûnûrs Voir le message
Deux facteurs entrent en compte pour la mise en place ou non de la sécurité applicative :
- Le temps
- Les connaissances.
Les connaissances sont à mon avis le principal problème et je mettrait ma main au feu que c'est également le cas dans certaines des entreprises qui disent accorder une place importante à la sécurité. Les bonnes pratiques sont utiles et aides à augmenter la sécurité des applications, mais les appliquer sans une bonne compréhension des risques qu'elles ont pour but de mitiger amène très souvent des situations semblables à celle d'un chirurgien qui enfilerait une paire de gant de ski avant d'entrer au bloc. Il ne suffit pas de prendre conscience du problème et de prendre des mesures, encore faut-il que celles-ci soient adaptées.

Si tous les acteurs du développement étaient réellement sachants de la problématique de la sécurité et des conséquences éventuelles, il n'y aurait probablement aucun problème de temps, mais même avec plus de temps, il n'est pas certain que tous les développeurs, même tout-à-fait compétent par ailleurs, soient capables d'appréhender cette problématique.
0  0