La sécurité logicielle restait auparavant réservée à une « élite » d’entreprises, celles qui traitaient des données financières. Mais les attentes de plus en plus fortes sur la protection des données, ainsi que l’importance de la e-réputation des entreprises, conduisent de plus en plus d’entreprises à investir dans la sécurité de leurs sites et de leurs applications en ligne.

Qui faut il mobiliser pour renforcer la sécurité des applications web et mobiles ? Des consultants en sécurité ou des équipes QA? Et comment les faire travailler ensemble ?

La sécurité fait partie de la qualité logicielle

Si la sécurité est d’abord restée une préoccupation lointaine pour de nombreux responsables d’équipes de développement, c’est parce que la démarche était perçue comme trop compliquée et inaccessible. Or, la sécurité n’est en réalité qu’une facette de l’assurance qualité. Elle peut être intégrée dans les process de tests et validation : tests fonctionnels, tests de performance, tests de sécurité.

Avec la multiplication des cyberattaques et la pression croissante pour renforcer la sécurité des données, de plus en plus d’éditeurs de solutions font systématiquement tester la sécurité de leurs applications avant de les mettre en production.

Mobiliser les équipes QA sur la sécurité applicative

Les équipes QA peuvent être mobilisées sur un 1er niveau de test de sécurité applicative.
Intégrer une grille de tests sur les failles les plus classiques permet d’éviter bon nombre d’erreurs courantes. Ceci nécessite d’être formé, mais sans nécessairement acquérir toutes les compétences d’un pentester.

Contrôle qualité - applications web et mobiles

Savoir déceler les failles de l’OWASP Top 10, telles que les injections SQL, permet déjà de limiter les risques dans un 1er temps.
De même, tester les failles logiques entre dans le champ de la sécurité applicative, mais aussi des tests fonctionnels. Les équipes QA ont donc la capacité d’intervenir dessus, à condition d’apprendre à penser « détournement » plutôt que « validation ».

Faire travailler ensemble QA et pentester

Bien sûr, pour sécuriser en profondeur une application, il sera nécessaire de faire intervenir un pentester.
Un pentester pourra transmettre une partie de ses compétences à l’équipe QA, puis réaliser des tests plus complets.
En plus d’apporter son expertise, il apportera un regard externe sur l’application, nécessairement différent du regard des équipes ayant travaillé sur le projet (c’est d’autant plus vrai s’il n’y a pas d’équipe QA dédiée et si les personnes effectuant la recette sont les développeurs eux-mêmes).

En plus du transfert de compétences, faire travailler ensemble QA et pentester permet à différents métiers de mieux se connaître. Toute démarche qui contribue à démystifier la sécurité applicative est positive, dans un but de renforcer les applications BtoB et BtoC que nous utilisons au quotidien.