Sipios devient Theodo FinTech, l’entité experte Services Financiers du groupe Theodo
.png)
Share this post
Secure Web Paris est une série de meetup qui réunit les curieux et passionnés de la sécurité des applications web. Hier j’ai eu la chance d’assister à ...
Secure Web Paris est une série de meetup qui réunit les curieux et passionnés de la sécurité des applications web.
Hier j’ai eu la chance d’assister à la première édition de cet événement. Dans cet article je vais vous partager ce que j’ai appris grâce aux talks de Dimitri Merejkowski de Tanker.io et Michaël Mollard de Sipios.
Tanker.io est une entreprise qui fournit des outils permettant à des développeurs de réaliser du chiffrement de bout en bout entre les navigateurs des utilisateurs d’une application.
L’objectif d’une telle solution est de chiffrer directement les données chez le client afin de le protéger contre une éventuelle fuite de donnée des serveurs de l’entreprise. Cela donne également à l’entreprise un argument de plus dans sa politique de respect des données utilisateurs.
Concrètement, le client chiffre lui même les données dans son navigateur et envoie au serveur une version chiffrée de ses données. Les serveurs de Tanker n’ont pas les moyens de déchiffrer ces données. Elles ne pourront être déchiffrées qu’avec un secret gardé sur le navigateur de l’utilisateur.
Un tel chiffrement est possible de manière sécurisée car les navigateurs disposent maintenant d’environnements sandboxés. Les informations stockées peuvent l’être de manière totalement hermétique entre deux onglets par exemple. Finalement, la sécurité est intimement liée à la confiance et les technologies actuelles nous permettent d’avoir une bonne confiance dans le chiffrement côté navigateur.
Il n’est plus nécessaire de rappeler les enjeux de la sécurité des applications web. Pourtant dans la majorité des projets, les contraintes de sécurité sont rarement prises en compte lors de la phase de développement. Un audit de sécurité est souvent prévu à la fin du projet et conduit souvent à des développements supplémentaires liés à la sécurité. Cela a pour conséquence de retarder la livraison des applications…
Ce problème a pour origine le manque de communication entre les experts de la sécurité et les développeurs.
Experts de la sécurité et développeurs ne communiquent pas !
DevSec est un mouvement dont l’objectif est de former les développeurs aux problèmatiques de sécurité, cela permet à l’image de DevOps et de la partie opérationnelle, d’intégrer dès la phase de développement les meilleures pratiques en matière de sécurité.
Michaël a partagé avec nous son retour d’expérience sur la mise en place de DevSec chez Sipios, voici ses conseils pour aider à démarrer le plus vite possible !
Ce que j’ai découvert durant ce meet up c’est que l’univers de la sécurité est beaucoup plus grand que ce que j’avais imaginé. On peut apprendre énormément sur les outils qui existent et les méthodes à mettre en place pour sécuriser les applications web.
Mettre en place DevSec peut vous permettre de progresser énormément dans le domaine de la sécurité. De plus utiliser le chiffrement de bout en bout permet de donner la garantie à vos utilisateurs que leurs données ne seront pas accessibles, même à l’intérieur de votre organisation.
Si les enjeux de sécurité vous intéressent, Secure Web Paris est le meet-up idéal pour vous ! Un meet up est organisé tous les premiers mercredi du mois, n’oubliez pas de vous inscrire ! https://www.meetup.com/fr-FR/Secure-Web-Paris/