Skip to content

+D Pour les développeurs

Définissez des processus reproductibles et des contrôles de sécurité communs

Que vous soyez débutant dans le développement sécurisé d’applications web ou déjà familier avec les risques qui y sont associés, il est toujours difficile de créer une application web sécurisée ou de corriger une application existante. Lorsqu’en plus vous devez gérer de nombreuses applications, la tâche devient ardue.

Afin d’aider les organisations et les développeurs à réduire les risques au sein de leurs applications et API web à moindre coût, l’OWASP a créé de nombreuses ressources gratuites et ouvertes utilisables au sein de votre organisation. Les ressources ci-dessous sont un exemple de ce que l’OWASP a produit pour aider les organisations à développer des applications web sécurisées. D’autres ressources OWASP destinées à vous aider à contrôler la sécurité de vos applications et de vos API sont présentées page suivante.

Activité Description
Exigences de sécurité de l'application Afin de produire une application web sécurisée, vous devez d'abord définir ce que cela signifie pour cette application. Utilisez le standard OWASP de vérification de la sécurité d'une application (ASVS, Application Security Verification Standard) comme guide pour déterminer les exigences de sécurité de votre application. Si le développement de l’application est sous-traité, utilisez plutôt l'annexe contractuelle pour du logiciel sécurisé de l'OWASP (OWASP Secure Software Contract Annex). Attention : l'annexe s'applique à la loi américaine des contrats. Consultez un juriste qualifié avant de l'employer.
Architecture applicative sécurisée Il est bien plus efficace d’intégrer la sécurité dans une application ou une API dès sa conception plutôt que d'identifier les failles et les corriger à posteriori. Les aide-mémoire de l'OWASP (OWASP Prevention Cheat Sheets) sont un excellent point de départ pour vous guider dans cette tâche.
Contrôles de sécurité communs Il est particulièrement difficile de concevoir des contrôles de sécurité fiables et simples à utiliser. Un jeu de contrôles standard simplifie radicalement le développement d'applications et API sécurisées. Les aide-mémoire OWASP Prevention Cheat Sheets constitue un excellent point de départ pour les développeurs. De nombreux frameworks modernes disposent désormais de contrôles de sécurités standards efficaces pour l'identification, la validation, la prévention CSRF, etc.
Cycle de développement sécurisé Afin d'améliorer le processus que suit votre organisation pour le développement d'applications et d'API, l'OWASP recommande le modèle OWASP SAMM (Software Assurance Maturity Model). Ce modèle aide les organisations à formuler et mettre en oeuvre une stratégie adaptée aux risques spécifiques auxquels elles sont confrontées.
Formation à la sécurité applicative Le projet éducation de l'OWASP met à disposition des ressources de formation afin d'aider à la sensibilisation des développeurs. Afin de vous confronter aux vulnérabilités les plus courantes, essayez l'OWASP WebGoat, WebGoat.NET, OWASP NodeJS Goat, OWASP Juice Shop Project ou l'OWASP Broken Web Applications Project. Et pour rester à jour, venez assister à une conférence AppSec OWASP, une session de formation ou une réunion du chapitre OWASP local.

De nombreuses autres ressources OWASP sont disponibles. Consultez la page des projets OWASP qui les recense, organisés selon leur niveau de maturité (Flagship, Labs et Incubator). La plupart des ressources OWASP sont disponibles sur notre wiki, et un grand nombre de documents OWASP peuvent être commandés au format papier ou électronique (eBook).