Les risques sont donc grands et il est important de sécuriser le système informatique de votre entreprise et notamment vos applications web.
Par conséquent, pour que cela soit fait et pour limiter les risques, un cadre réglementaire, des standards et des normes ont été définis et déployés au fil des années.
Quelles sont les différences entre ces 3 termes ?
Les réglementations : Il s'agit de lois et de directives établies par des autorités gouvernementales. Les réglementations sont juridiquement contraignantes et votre entreprise doit s'y conformer pour éviter des sanctions légales..
Les standards : Les standards sont des ensembles de pratiques, méthodes et procédures thématiques, reconnues à l’international. Ils sont souvent élaborés par des organismes de normalisation ou des associations professionnelles. Bien que non obligatoires légalement, ils sont largement adoptés et respectés dans l'industrie pour assurer une certaine uniformité et qualité.
Les normes : Les normes sont des directives ou des ensembles de règles souvent spécifiques à une industrie ou un secteur. Elles peuvent être établies par des organismes sectoriels ou des groupes de normalisation. Les normes peuvent être volontaires ou devenir de facto obligatoires dans certaines industries..
Il y a une multitude de réglementations et de standards ou normes. Chacune d’elles exigera des pratiques spécifiques en matière de sécurité des applications web. Découvrons les principales et dans quelle mesure elles impactent vos sites web.
La réglementation RGPD
Le RGPD est une réglementation européenne qui protège les données personnelles des citoyens de l'UE. Elle impose aux entreprises de demander le consentement pour collecter et utiliser ces données, offre aux individus un droit d'accès et de contrôle sur leurs informations, et prévoit des sanctions en cas de non-respect.
Dans quelles mesures dois-je appliquer le RGPD pour le développement spécifique de mon application web ?
Le RGPD exige que les principes de "protection des données dès la conception" et de "protection des données par défaut" soient intégrés dans les développements Web. Cela implique, par exemple, la mise en œuvre de mesures techniques pour assurer la confidentialité des données personnelles, le chiffrement des données sensibles, et la réalisation d'analyses d'impact sur la protection des données pour les nouveaux projets.
Et pour mieux comprendre et appliquer le RGPD dans vos projets web, consultez le chapitre "Respectez les obligations en termes de données personnelles à l'heure du RGPD du cours Openclassrooms “Maîtrisez les risques juridiques liés au numérique".
La certification HDS
La certification française Hébergement de données de santé (HDS) est spécifique aux données de santé. C’est est une obligation réglementaire pour les organismes publics ou privés qui hébergent, exploitent ou réalisent des sauvegardes pour le compte d'établissements de santé ou de tiers de santé. Elle impose des normes élevées en matière de sécurité et de confidentialité pour assurer la protection des données de santé qui sont particulièrement critiques.
Et concrètement pour mon application web, ça veut dire quoi ?
Pour assurer la sécurité des applications web manipulant des données de santé, vous pouvez par exemple inclure l'authentification forte des utilisateurs, le chiffrement des données en transit et au repos, et la mise en place de systèmes de gestion des logs pour surveiller l'accès aux données de santé.
La norme PCI-DSS
La norme PCI-DSS (Payment Card Industry Data Security Standard) est un excellent exemple de norme définie pour sécuriser les transactions par carte bancaire. Elle impose des exigences rigoureuses pour la protection des données de carte de crédit, incluant le chiffrement des données, des mesures de contrôle d'accès, et une surveillance continue.
Et concrètement pour mon application web, ça veut dire quoi ?
Par exemple, utiliser des protocoles sécurisés pour les transactions en ligne, la protection contre les injections SQL et les attaques XSS (Cross-Site Scripting), ainsi que chiffrer des données de carte de paiement stockées et transmises sur le réseau.
Cela fait beaucoup de choses à respecter ! As-tu un exemple concret de mise en application au sein d’une entreprise ?
Prenons l’exemple d’une entreprise comme la Fnac, qui gère les données de cartes bancaires sur son site d'e-commerce.
Le PCI-DSS est un standard de sécurité des données essentiel pour toute entreprise traitant des paiements par carte de crédit. Bien que n'étant pas une réglementation gouvernementale, le non-respect du PCI-DSS peut entraîner des conséquences graves, telles que des amendes de la part des sociétés de cartes de crédit et une perte de confiance des clients. Le PCI-DSS illustre comment un standard, bien qu'officiellement non obligatoire, devient de facto indispensable pour opérer dans l'industrie l’e-commerce de manière sécurisée et conforme.
Dans ce contexte, la Fnac doit se conformer aux réglementations gouvernementales pertinentes, comme le RGPD en Europe pour la protection des données personnelles, tout en adhérant aux standards comme le PCI-DSS pour protéger les données de cartes bancaires de ses clients.
Ainsi, pour une entreprise comme la Fnac, la distinction entre réglementation, standard et norme est fondamentale pour naviguer efficacement dans le paysage de la cybersécurité et garantir à la fois la conformité et la protection optimale des données clients.
Ayez en tête que l’objectif de ces réglementations, standards et normes est d’assurer la sécurité de votre entreprise et de vos parties prenantes.
Et nous sommes d’accord que ce n’est pas évident de savoir par où commencer. Pour vous aider à structurer votre démarche de sécurité en matière d’applications web, il existe des ressources bien pratiques Nous allons voir ça dans le chapitre suivant !
En résumé
Les réglementations sont des exigences légales établies par des gouvernements, que vous devez impérativement respecter sous peine de sanctions.
Les standards représentent des ensembles de meilleures pratiques reconnues à l’international, adoptées volontairement pour assurer qualité et uniformité dans votre travail.
Les normes sont des directives spécifiques, souvent liées à un secteur d'activité particulier, qui guident vos actions et décisions.
Les exigences et bonnes pratiques en matière de sécurité web peuvent se chevaucher. Cela signifie que, dans certains cas, en suivant un standard international, vous pourriez déjà répondre partiellement ou totalement à une réglementation ou une norme spécifique à votre secteur.
Des guides et outils en ligne vous aideront à comprendre et appliquer les meilleures pratiques de cybersécurité efficacement.
Maintenant que vous avez une compréhension des réglementations, standards et normes en cybersécurité, le prochain chapitre vous guidera à travers l'utilisation de l'OWASP. C’est un cadre de référence incontournable, pour affiner et renforcer votre stratégie de sécurité des applications web.
