Actualités

Il arrive trop souvent que des sites webs, même prestigieux, laissent filtrer des informations sur leurs clients, par négligence ou en raison de défauts dans leurs programmes informatiques. La sécurité a en effet un statut problématique en informatique: d'un côté, les clients valorisent avant tout la sortie rapide de produits possédant des fonctionnalités nouvelles, ce qui laisse peu de temps pour produire un code bien audité; de l'autre, les mêmes clients se plaignent a posteriori lorsque des problèmes de sécurité sont mis à jour. Quel est le bon compromis entre rapidité et sécurité pour une entreprise qui vend des programmes ?

La réponse réside dans la conception. Corriger un problème de sécurité coûte 16 fois plus cher pendant la phase de test que pendant la conception initiale, et 60 fois plus cher lorsque le site est déjà en production. Le problème est que dans la phase de conception, les principaux intervenants ne sont pas nécessairement des personnes bien au fait des méthodes de base sur la sécurité, ou qui seront évaluées en fin d'année sur des critères totalement indépendants.

Pour remédier à ce problème, l'idée de l'ISEP (école d'ingénieur parisienne spécialisée en informatique, concours E3A) est de proposer une formation courte (les 8 et 9 juin 2010) dédiée spécialement à la prise en compte des questions de sécurité dans la phase amont. Elle réunira des développeurs, des consultants et des auditeurs de sécurité, mais aussi des webmestres, des architectes logiciels et des chargés de projet web.

Les autres actualités de 2010