Les bonnes pratiques à adopter en matière de cybersécurité lorsque vous faites appel à des développeurs Web / mobile

Vous souhaitez faire appelle à un prestataire pour réaliser votre application web ou mobile, mais vous craignez pour la sécurité de vos données ? Aucun soucis, nous vous expliquons tous ce que vous devez savoir !

...
Ugo DANY
Partager:
  • ...
  • ...

Que ce soit dans un cadre professionnel ou personnel, l’utilisation d’outils numérique dans notre quotidien s’est fortement développée au cours de ces dernières années. Ce ne sont plus seulement les ordinateurs et les smartphones qui nous relient au Web mais tout un écosystème d’objets connectés qui peut aller de la montre à la télévision en passant par nos véhicules jusqu’aux assistants personnels tels que Google Home et Alexa pour ne citer qu’eux.

Ces outils sont omniprésents dans notre société actuelle et facilitent un grand nombre de nos actions aussi bien au niveau personnel que professionnel. Les entreprises ont besoin de sécuriser leurs espaces de travail internes mais également leurs plateformes externes, plus sensibles aux failles de sécurité. Lorsque votre site ou application abrite les données de vos utilisateurs, il est du ressort de l’entreprise de prendre des mesures de protection des données, et ceux dès la création du site.

Nous allons voir quelques bonnes pratiques à adopter en matière de sécurité informatique lorsque vous faites appel à un prestataire pour la conception de votre application ?

cybersecurite.jpg

Toujours privilégier un certificat SSL (connexion HTTPS)

Qu’est ce qu’un certificat SSL (Secure Socket Layer) ?

Il s’agit d’un protocole de sécurité utilisé pour protéger vos données entre deux machines, par exemple entre un site Web et son serveur, en utilisant un langage crypté. Il est notamment utilisé afin de sécuriser les transactions bancaires, transfert de données et les informations de connexions.

Le certificat SSL utilise la cryptographie à clé publique, qui est composée de deux clés prenant la forme de longues chaînes de nombres générées aléatoirement. D’un côté nous avons la clé publique reconnue par le serveur et disponible dans le domaine public. De l’autre nous avons la clé privée qui permet à l’utilisateur de décrypter les informations transmises par le serveur, cela permet dans le cas où le message serait intercepté par un pirate, sans la clé privée, il lui sera alors impossible d'accéder à vos informations.

Outre le fait de sécuriser vos informations confidentielles telles que les informations de connexion ou données bancaires, les certificat SSL permettent :

La certification SSL est devenue la norme de sécurité la plus utilisée car elle présente un grand nombre d'avantages et propose plusieurs niveaux de sécurité. Cette certification vous permettra de vous adapter en fonction de vos besoins, le prestataire sera en mesure de vous conseiller et de vous fournir la solution adéquate.

Utiliser l’authentification à double facteur (2FA)

Afin d’assurer la protection optimale pour vos comptes personnels, nous savons qu’un simple mot de passe n’est parfois pas suffisant pour se protéger.

Une solution est de renforcer l'authentification en ajoutant une vérification supplémentaire, cette solution est appelée "identification à double facteur", elle consiste à ajouter un moyen d’identification supplémentaire aux traditionnels mots de passe.

Cela peut se traduire de diverses manières:

  • Code reçu par SMS ou email

  • Code de validation sur un autre appareil

  • Utilisation d’une application de vérification (par exemple: Google Authenticator)

  • Réception d’un code utilisable sur une période limitée, aussi appelé TOTP pour time-based one-time password. On retrouve notamment cette technologie sur les cartes de crédit récentes avec l’actualisation automatique du CVC.

Nous vous recommandons de privilégier une authentification à double facteur via Google Authenticator ou TOPP. En effet, la méthode "code SMS" est moins fiable

Parmi les nombreux avantages de la double authentification, on notera principalement sa simplicité d’utilisation et le moyen simple de se prémunir d'une attaque suite par exemple à une fuite de vos mots de passe.

Lors du développement de votre application, il est impératif de vérifier que le ou les prestataires utilisent une double authentification et pensez à l'utiliser vous-même si certains accès vous sont fournis.

Cela est nécessaire pour toutes les plateformes contenants des données sensibles comme par exemple :

  • l’accès à l'hébergement (AWS, OVH, Google Cloud),
  • au partage de fichiers (Slack, Google drive)
  • l'accès aux codes sources (Github, Bitbucket, Gitlab)

Lors du développement de votre site, le prestataire se doit de sécuriser les données du code source afin d’éviter le vol d’informations tout en laissant la possibilité de le modifier à n’importe quel moment.

Assurez-vous que le code source soit stocker en ligne sur une plateforme connue

Prenons pour exemple la plateforme Github, qui permet aux développeurs de stocker et partager, de manière publique ou non, le code qu’ils créent. De plus, c'est le service d'hébergement (de code) de référence de l’Open Source, qui peut être comparé à un système cloud pour le code. L’actualisation des sauvegardes vous permet de toujours d'avoir vos ressources à disposition.

La plateforme accueille plus de 85 millions de projets ce qui en fait le plus grand site collaboratifs open source. Github permet de visualiser le code en une multitude de langues et d’avoir l'intégralité des modifications effectuées. Si les développeurs peuvent utiliser github gratuitement pour travailler sur des projets open source, ils doivent payer lorsqu'il s’agit de projets privés afin de sécuriser l’accès au code.

Github est un moyen efficace de protéger et partager votre code source tout en étant flexible afin de pouvoir les modifier ultérieurement. Sécuriser votre base de données Afin de protéger vos données efficacement il est fortement recommandé d’effectuer des sauvegardes, celles-ci peuvent être automatisées, avec nos conseils nous adapterons la fréquence des sauvegardes en fonction du service utilisé et des données stockées.

N’oubliez pas de vérifier les paramètres d’accès à votre base de données. Idéalement la base de données est accessible uniquement depuis un VPS (serveur privés virtuels) ou certaines adresses IP dédiées.

Également, vérifier auprès de votre prestataire que le mot de passe utilisé est un mot de passe fort et sécurisé. Nous vous recommandons également l’ajout d’une double authentification sur la plateforme qui héberge votre base de données afin de garantir une sécurité optimale

...
Ugo DANY
Partager:
  • ...
  • ...

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies