• 10 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 25/04/2022

Identifiez les règles de sécurité à appliquer par les entreprises

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

De nos jours, la plupart des informations se trouvent facilement sur le web. Un pirate n'a pas besoin d'entrer dans un immeuble pour obtenir des données, il peut le faire directement depuis chez lui ! Cela signifie que les entreprises doivent mettre en place des mesures de sécurité pour se protéger des attaques potentielles.

Découvrez les mesures de sécurité pour les applications web

Il existe trois principes de sécurité qui peuvent être appliqués pour garantir la sécurité d’une application ou d’une infrastructure.

  1. La confidentialité. C'est l'assurance que les personnes non autorisées n'accèdent pas à des informations sensibles.

  2. L'intégrité. Elle permet d'être sûr que les données sont fiables et n'ont pas été modifiées par des personnes non autorisées.

  3. La disponibilité. C'est l’assurance qu'il n'y a pas de perturbation d'un service ou de l'accessibilité aux données.

La sécurité de l'information repose sur l'équilibre entre ces trois principes.

Ces principes fondamentaux sont des éléments clés dans l’élaboration des politiques de sécurité en entreprise. Mais il existe également des réglementations imposées pour certains secteurs d’activités qui influencent également les politiques de sécurité des entreprises. 

Il existe de nombreux règlements en fonction des domaines d’activité des entreprises, en voici quelques-uns qui pourront vous être utiles.

Identifiez les principales réglementations de sécurité pour les applications web

En 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur. Il modifie la manière dont les données personnelles sont stockées et utilisées et la façon dont les entreprises les traitent. Il permet aux résidents de l'Union européenne de contrôler leurs informations personnelles, comme leur nom, leur âge, leur affiliation politique et leur orientation sexuelle, par exemple. 

Les entreprises ne respectant pas le RGPD sont passibles d'une amende. Bien qu'il soit basé sur la législation de l'Union européenne, il concerne tous les pays car les applications web sont disponibles dans le monde entier. Les entreprises en dehors de l’UE qui font du business avec des entreprises européennes devront respecter le RGPD pour leurs applications web à destination du marché européen.

Comment puis-je être sûr que mon application web répond à ces normes ?

Un des éléments primordial et de veiller à garantir la sécurité des données personnelles stockées et échangées via l’application web. Les données collectées doivent aussi répondre à un usage spécifique.

De plus, il est nécessaire d’avoir la possibilité de supprimer les données personnelles à la demande du client. Par exemple, si un utilisateur veut se désabonner  d'une newsletter, il faut s’assurer qu'il existe une option permettant le désabonnement. Une fois qu’une personne se désabonne, l'adresse e-mail doit être automatiquement supprimée de la base de données.

Découvrez la norme PCI DSS

La norme Payment Card Industry Data Security Standard (PCI DSS) est une norme établie pour toutes les entreprises qui traitent des données bancaires. La sécurisation des données bancaires met l'accent sur la sécurité lors de la transmission, du traitement et du stockage des données. 

De plus en plus de plateformes web et de solutions de stockage gèrent les applications pour les entreprises, il est essentiel que le fournisseur soit également conforme à la norme PCI DSS.

Si vous créez une application web qui traite des données bancaires, comme une boutique en ligne ou un site web par abonnement, vous devez chiffrer les transmissions pour garantir la sécurité des données en transit. Les données bancaires transmises en texte clair constituent une violation de la norme PCI DSS, ce qui peut faire l’objet d’une amende. 

Appréhendez la réglementation du traitement des données de santé

Les données de santé sont des données à caractère personnel particulières car considérées comme sensibles. Elles font à ce titre l’objet d’une protection spécifique inscrite dans de nombreux textes comme le règlement européen sur la protection des données personnelles, la loi Informatique et Libertés, le Code de la santé publique, etc., afin de garantir le respect de la vie privée des personnes.

Découvrez l'OWASP

L’Open Web Application Security Project (OWASP) est un organisme impartial, mondial et sans but lucratif. Il évalue les dix principaux risques pour la sécurité des applications web et préconise un développement logiciel sécurisé.

En tant que développeur web, il est important d'apprendre comment sécuriser votre application, afin qu'elle ne soit pas vulnérable aux attaques courantes. Le Top Ten de l'OWASP fournit des lignes directrices à suivre permettant de respecter des bonnes pratiques pour protéger une application web. Cela vous permettra de prendre en compte la sécurité dès vos premiers développements et apportera également une crédibilité supplémentaire à vos clients ou à l’entreprise pour laquelle vous travaillez. De plus, si vous avez besoin de développer votre application web selon les normes RGPD, PCI DSS ou autre, vous devrez d'abord la sécuriser avec l’OWASP ! 

En résumé

  • La confidentialité, l'intégrité et la disponibilité sont les principes de base de la sécurité de l'information.

  • Le RGPD garantit la confidentialité des données pour les résidents de l'UE.

  • PCI DSS assure la conformité de la sécurité des sites qui traitent les données bancaires.

  • Le traitements des données de santé est réglementé par la CNIL et nécessite une prise en charge particulière. 

  • L’OWASP est une organisation à but non lucratif qui propose des référentiels sur les risques de sécurité des applications web. Le Top Ten 2017 de l'OWASP est la dernière mise à jour sur les risques de sécurité des applications web aujourd'hui.

Dans les chapitres suivants, vous découvrirez une vue d'ensemble de l'OWASP et des dix principales attaques.

Exemple de certificat de réussite
Exemple de certificat de réussite