Les cyberattaques ciblent de plus en plus les applications web métier. Ce guide détaille les bonnes pratiques de sécurité indispensables pour protéger votre plateforme et vos données.
Les principales menaces (OWASP Top 10)
Injection (SQL, NoSQL, LDAP) : des données malveillantes modifient les requêtes. Prévention : requêtes paramétrées, ORM, validation des entrées.
Authentification défaillante : mots de passe faibles, sessions mal gérées, absence de 2FA. Prévention : hachage bcrypt, tokens sécurisés, 2FA.
Exposition de données sensibles : données en clair, chiffrement faible, logs exposés. Prévention : HTTPS, chiffrement AES, logs anonymisés.
XSS (Cross-Site Scripting) : injection de scripts malveillants dans les pages. Prévention : échappement des sorties, Content Security Policy (CSP).
Contrôle d'accès défaillant : utilisateurs accédant à des ressources non autorisées. Prévention : vérification côté serveur, principe du moindre privilège.
Authentification sécurisée
Hachage des mots de passe avec bcrypt ou Argon2. Jamais MD5 ou SHA1 (trop rapides, vulnérables aux attaques par dictionnaire).
Salage unique par utilisateur généré aléatoirement. Le sel empêche les attaques par rainbow tables.
Politique de mots de passe : minimum 12 caractères, complexité encouragée mais pas forcée (phrases secrètes préférables).
2FA (authentification à deux facteurs) obligatoire pour les comptes à privilèges. TOTP (Google Authenticator) ou WebAuthn (clés physiques).
Rate limiting et lockout temporaire après échecs répétés pour bloquer le brute force.
Protection des données
HTTPS obligatoire sur l'ensemble du site. Certificat TLS 1.3, HSTS activé. Les navigateurs pénalisent les sites non HTTPS.
Chiffrement des données sensibles au repos : AES-256 pour les champs critiques (numéros de carte, données santé).
Tokens JWT sécurisés : signature HS256 minimum, durée de vie courte (15min-1h), refresh tokens pour les sessions longues.
Cookies sécurisés : HttpOnly (pas accessible en JS), Secure (HTTPS uniquement), SameSite=Strict contre le CSRF.
Logs et audit trail : tracer les actions sensibles, mais anonymiser les données personnelles dans les logs.
Sécurité de l'infrastructure
Firewall applicatif (WAF) pour filtrer les requêtes malveillantes. Cloudflare, AWS WAF, ou équivalent.
Mises à jour régulières des dépendances. Outils : Dependabot, Snyk pour détecter les vulnérabilités connues (CVE).
Principe du moindre privilège : chaque service n'a accès qu'aux ressources nécessaires. Pas de compte root partagé.
Sauvegardes chiffrées et testées régulièrement. Plan de reprise d'activité (PRA) documenté et testé.
Monitoring de sécurité : alertes sur les comportements anormaux (tentatives de connexion, requêtes suspectes).
Tests de sécurité
Tests automatisés de sécurité dans la CI/CD : SAST (analyse statique du code), DAST (tests dynamiques).
Pentest (test d'intrusion) avant la mise en production pour les plateformes sensibles. Budget : 3 000-10 000€ selon la complexité.
Bug bounty pour les plateformes critiques : récompensez les chercheurs qui trouvent des failles. Plateformes : HackerOne, YesWeHack.
Formation des développeurs aux bonnes pratiques de sécurité. OWASP propose des ressources gratuites.
Audit de sécurité annuel ou après chaque évolution majeure. La sécurité n'est pas un état mais un processus.
Questions fréquentes
Quelles sont les principales failles de sécurité web ?
OWASP Top 10 : injection SQL, XSS, authentification faible, exposition de données, mauvaise configuration, composants vulnérables. Un développement sécurisé évite 90% des attaques courantes.
Comment sécuriser les mots de passe ?
Hachage avec bcrypt ou Argon2 (jamais MD5/SHA1). Salage unique par utilisateur. Politique de mots de passe forts. 2FA pour les comptes sensibles. Rate limiting contre le brute force.
Faut-il réaliser un pentest ?
Oui pour les plateformes manipulant des données sensibles (santé, finance, RH). Budget : 3 000-10 000€. À renouveler annuellement ou après des évolutions majeures.
