Actualités
Il arrive trop souvent que des sites webs, même prestigieux, laissent
filtrer des informations sur leurs clients, par négligence ou en raison de
défauts dans leurs programmes informatiques. La sécurité a en effet un statut
problématique en informatique: d'un côté, les clients valorisent avant tout la
sortie rapide de produits possédant des fonctionnalités nouvelles, ce qui
laisse peu de temps pour produire un code bien audité; de l'autre, les mêmes
clients se plaignent a posteriori lorsque des problèmes de sécurité sont mis
à jour. Quel est le bon compromis entre rapidité et sécurité pour une
entreprise qui vend des programmes ?
La réponse réside dans la conception. Corriger un problème de sécurité coûte
16 fois plus cher pendant la phase de test que pendant la conception initiale,
et 60 fois plus cher lorsque le site est déjà en production. Le problème est
que dans la phase de conception, les principaux intervenants ne sont pas
nécessairement des personnes bien au fait des méthodes de base sur la
sécurité, ou qui seront évaluées en fin d'année sur des critères totalement
indépendants.
Pour remédier à ce problème, l'idée de l'
ISEP
(école d'ingénieur parisienne spécialisée en informatique, concours E3A) est
de proposer une formation courte (les 8 et 9 juin 2010) dédiée spécialement à
la prise en compte des questions de sécurité dans la phase amont. Elle réunira
des développeurs, des consultants et des auditeurs de sécurité, mais aussi des
webmestres, des architectes logiciels et des chargés de projet web.
Les autres actualités de 2010