Implémenter la sécurité d'une application

h4: Surveiller les applications et les interfaces et résoudre les problèmes en cours de fonctionnement

Les informaticiennes et informaticiens surveillent les applications et les interfaces, prennent des mesures en vue de maintenir la stabilité et résolvent, si nécessaire, les problèmes survenant en cours de fonctionnement: Pour la surveillance ou le monitorage d’une application, ils définissent tout d’abord tout ce qui doit être enregistré (métriques) et configurent les systèmes en conséquence (profon- deur de journal [log depth], points de mesure). Ils intègrent dans l’application des mesures vue de détecter rapidement les utilisations abusives et les menaces. Ils effectuent le monitorage à intervalles réguliers et vérifient l’état de l’application sur la base des informations enregistrées. Si nécessaire, ils procèdent à une analyse, p. ex. en cas de message d’erreur transmis par le client ou le système. Pour circonscrire le problème, ils reproduisent l’erreur. Ce faisant, ils adoptent une démarche analytique et font preuve de

g3: Evaluer et documenter la sécurité des applications et des interfaces

Les informaticiennes et informaticiens évaluent la sécurité des applications et des interfaces et documentent leurs résultats: Ils clarifient tout d’abord les questions de sécurité relatives à l’environnement système, p. ex. quelles sont les interfaces existantes, qui sont les utilisateurs de l’application, quels autres systèmes accèdent à l’application, quel est le besoin de protection des données respectivement de l’application (disponibilité, confidentialité, fiabilité, intégrité), quelles di- rectives internes ou prescriptions légales doivent être respectées. Sur la base de leur examen, ils déduisent les risques auxquels peuvent être exposées l’application et ses interfaces. A cet égard, ils adoptent une démarche prospective et mettent en évidence les méthodes de menaces et les manipulations possibles provenant de l’extérieur. Ils discutent en équipe des résultats de leur analyse et en tirent les mesures appropriées

g5: Implémenter les applications et les interfaces selon le concept en respectant les exigences de sécurité

Sur la base des exigences définies et des ébauches/modèles développés, les informaticiennes et informaticiens implémentent les applications et les interfaces. Il peut s’agir de nou- velles applications ou d’une extension apportée à une application existante: Ils mettent tout d’abord en place un environnement de développement et d’exécution approprié. Le concept de réalisation préétabli et les directives de l’entreprise servent de base à cette étape. Ils passent ensuite à la programmation du back-end et du front-end selon les exigences définies. A cet effet, ils utilisent les langages de programmation donnés et des outils de déve- loppement. Ils testent régulièrement l’implémentation en vue de détecter des erreurs et les corrigent (débogage). Ils veillent à respecter systématiquement les dispositions régle-

g6: Vérifier la qualité et la sécurité des applications et des interfaces

Les informaticiennes et informaticiens vérifient la qualité et la sécurité des applications et des interfaces sur la base de concepts de tests. Ils garantissent ainsi que les applications sont implémentées conformément aux exigences et les erreurs supprimées, et que l’application sera validée pour la mise en production: Ils établissent tout d’abord un concept de tests où ils décrivent l’environnement de tests de l’application avec les indications pertinentes (p. ex. système, acteur, données, utilisa- teurs, autorisations). Ils définissent ensuite les types de tests qui seront utilisés (p. ex. tests unitaires [unit tests], tests d’acceptation des utilisateurs, tests d’intégration, tests de charge/performance ou tests de sécurité.) Sur cette base, ils déterminent les moyens de test appropriés. Ils décrivent ensuite les cas de test (test cases) en relation avec les cas d’utilisation (use cases) et les exigences. Ce faisant, ils adoptent différents angles d’approche (p. ex. valeurs limites, situations d’erreurs). Ils s’assurent que les cas de test définis sont