Contrôle 16 — Sécurité des applications
Gérer le cycle de vie sécurisé des applications développées ou acquises : revues de code, tests de sécurité, gestion des secrets et correction des vulnérabilités applicatives.
Pourquoi ce contrôle est critique ?
Ce contrôle est principalement IG2 et IG3 — il s'adresse aux organisations qui développent ou maintiennent des applications. Pour les PME qui utilisent uniquement des SaaS, la priorité est de s'assurer que les fournisseurs appliquent ces pratiques (C15). Pour les développeurs internes, les pratiques OWASP sont incontournables.
Procédures & outils recommandés
Intégrer la sécurité dans le cycle de développement (DevSecOps) : revues de code, analyse statique (SAST), tests dynamiques (DAST), gestion des secrets via un vault. Corriger les vulnérabilités OWASP Top 10 en priorité.
- OWASP ZAP (gratuit) — tests de sécurité applicatifs dynamiques
- Semgrep (gratuit) — analyse statique du code
- HashiCorp Vault (open source) — gestion des secrets
- Snyk (freemium) — vulnérabilités dans les dépendances
- SonarQube Community (gratuit) — qualité et sécurité du code
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 16.1 | Établir et maintenir un processus de gestion sécurisée du cycle de vie des applications. | IG2 | Applications |
| 16.2 | Établir et maintenir un programme de gestion des vulnérabilités applicatives. | IG2 | Applications |
| 16.3 | Effectuer des revues de sécurité du code pour les applications critiques. | IG2 | Applications |
| 16.4 | Établir et maintenir un inventaire des composants tiers (bibliothèques, frameworks). | IG2 | Applications |
| 16.5 | Utiliser un gestionnaire de packages sécurisé pour contrôler les dépendances. | IG2 | Applications |
| 16.6 | Établir et maintenir un système de gestion des secrets (clés API, mots de passe de service). | IG2 | Applications |
| 16.7 | Configurer les tests de sécurité applicatifs dans le pipeline CI/CD. | IG2 | Applications |
| 16.8 | Séparer les environnements de développement, test et production. | IG2 | Applications |
| 16.9 | Former les développeurs aux pratiques de code sécurisé (OWASP Top 10). | IG3 | Applications |
| 16.10 | Appliquer le principe de moindre privilège dans les permissions applicatives. | IG3 | Applications |
| 16.11 | Implémenter une validation des entrées et un encodage des sorties dans toutes les applications. | IG3 | Applications |
| 16.12 | Implémenter des protections Web Application Firewall (WAF) pour les applications exposées. | IG3 | Applications |
| 16.13 | Effectuer des tests d'intrusion applicatifs au minimum annuels. | IG3 | Applications |
| 16.14 | Effectuer une analyse de composition logicielle (SCA) pour les bibliothèques tierces. | IG3 | Applications |
Application pour les PME québécoises
Ce contrôle s'adresse principalement aux organisations qui développent des applications. Pour les PME sans développement interne, vérifier que vos fournisseurs SaaS appliquent ces pratiques (certifications SOC 2, ISO 27001). Pour les développeurs : commencer par OWASP Top 10 et l'analyse de dépendances avec Snyk.
Quiz de validation — 5 questions
1. Quelle est la référence principale pour les vulnérabilités applicatives web ?
2. Ce contrôle contient-il des Safeguards IG1 ?
3. Qu'est-ce que le SAST ?
4. Quel outil gratuit analyse les vulnérabilités dans les dépendances logicielles ?
5. Pourquoi séparer les environnements dev/test/prod (Safeguard 16.8) ?
Voir aussi