Sécuriser vos applications de A à Z

Les pièges courants et comment les éviter (avec exemples concrets)

La sécurité applicative, ce n’est pas juste scanner un repo GitHub une fois par mois.

C’est une discipline. Un état d’esprit. Et une responsabilité.

Voici un guide complet, pensé comme un cours pratique, pour intégrer la sécurité à chaque étape de votre développement.

---

🧠 1. Comprendre le vrai danger

Le Top 10 OWASP est un bon point de départ, mais il ne suffit pas.

Exemples de menaces qu’on retrouve dans des applis modernes, parfois même chez des licornes :

# Injection non évidente : logger exploitable via format string (Python)
user = input("Nom d'utilisateur : ")
logger.warning("Tentative de connexion de %s", user)
# vs
logger.warning("Tentative de connexion de " + user)  # ⚠️ vulnérable si user = "%(asctime)s"

---

🏗️ 2. SDLC sécurisé : sécurité dès la conception

Intégrez les exigences de sécurité dès l’étape de spécification.

→ Exemple de question à se poser dès le design :

• Quelles données transitent ? Sont-elles sensibles ?

• Quels composants tiers sont utilisés ? Sont-ils maintenus ?

• Comment se fait l’authentification ? Y a-t-il une séparation claire des rôles ?

Et surtout : modélisez les menaces !

graph TD
    A[User] --> B[Frontend]
    B --> C[API Gateway]
    C --> D[Service interne]
    D --> E[(Base de données)]

    C -.-> F[Service tiers vulnérable]
    style F stroke:#f00,stroke-width:2px

---

🔎 3. Analyser son code intelligemment

SAST - Static Analysis

Exemple : Détection de cryptographie maison ou d’algorithmes obsolètes :

// ❌ Ne jamais utiliser MD5 pour du hachage de mots de passe
const crypto = require('crypto')
let hash = crypto.createHash('md5').update(password).digest('hex')

À faire :

// ✅ Bcrypt ou Argon2
const bcrypt = require('bcrypt')
const hash = await bcrypt.hash(password, 10)

SCA - Analyse des dépendances

Outils : npm audit, yarn audit, pip-audit, syft, grype

Exemple de vulnérabilité “silencieuse” : une dépendance utilisée uniquement dans un test, mais embarquée en prod via un mauvais import.

---

🧪 4. Mettre en place des tests sécurité dès le dev

DAST – Dynamic Analysis

• Utilisez ZAP en CI pour tester les endpoints actifs

• Ajoutez des scénarios avec des inputs malveillants dans vos tests d’intégration :

# Exemple de test d'injection XSS
def test_xss_protection(client):
    payload = "<script>alert(1)</script>"
    res = client.post("/search", data={"q": payload})
    assert payload not in res.text  # XSS échoué => payload doit être échappé

---

🔐 5. Sécuriser l’authentification, vraiment

L’erreur typique : générer ses tokens JWT sans validation de signature

// ⚠️ Token JWT non vérifié
const payload = jwt.decode(token)  // decode ne valide PAS la signature

À faire :

// ✅ Utiliser verify avec une clé secrète
const payload = jwt.verify(token, process.env.JWT_SECRET)

Session hijacking

• Utilisez HttpOnly, Secure, SameSite=Strict sur les cookies

• Détruisez la session côté serveur lors d’un logout (et pas juste côté client)

---

🛠️ 6. Chiffrement & stockage sécurisé

Mauvais exemple

// ⚠️ Chiffrement maison en base64 n'est PAS du chiffrement
$encoded = base64_encode($sensitive_data)

Bon exemple : AES-GCM en Python

from cryptography.hazmat.primitives.ciphers.aead import AESGCM
import os

key = AESGCM.generate_key(bit_length=128)
aesgcm = AESGCM(key)
nonce = os.urandom(12)
data = b"data sensible"
aad = b"auth"

ct = aesgcm.encrypt(nonce, data, aad)

---

🔄 7. Intégrer la sécurité dans la CI/CD

• Scan SAST/SCA dans vos pipelines GitHub/GitLab

• Bloquez les secrets avec gitleaks ou truffleHog

• Validez automatiquement que chaque PR a passé les tests de sécurité

# Exemple GitHub Actions : blocage de secrets
- name: Check for secrets
  uses: zricethezav/gitleaks-action@v2.2.0

---

🛡️ 8. Vérifier si l’appli reste exploitable

➤ Étapes concrètes :

1. Lancez un scan DAST (ZAP/Burp) sur staging

2. Injectez volontairement un payload XSS ou SQLi dans un champ utilisateur

3. Observez les comportements (logs, erreurs, réponses HTTP)

4. Faites une analyse de surface d’attaque : endpoints publics ? ports ouverts ?

5. Ajoutez un canari dans le code pour détecter les accès inattendus

# Exemple de canari (honeytoken)
@app.get("/admin-panel-bkp-2021")
def honeypot():
    log.warn("Accès canari détecté")
    notify_team()
    return "404"

---

🎓 9. Créez une vraie culture de la sécurité

• Formez vos devs à la sécurité offensive/défensive

• Organisez des ateliers “CTF” internes avec capture de failles

• Célébrez les alertes déclenchées (pas seulement les bugs fixés)

• Faites auditer vos apps par un œil externe 1x/an

---

✅ Checklist finale pour sécuriser vos applis

✅ Analyse statique + revue manuelle
✅ SonarQube, Semgrep
✅ Dépendances
✅ Scan de lib open source
✅ Snyk, Trivy, pip-audit
✅ Authentification
✅ MFA + RBAC + token sécurisé
✅ OAuth2, JWT + HMAC
✅ Données sensibles
✅ Chiffrement fort + gestion de clés
✅ AES-GCM, AWS KMS, Vault
✅ CI/CD
✅ Intégration SAST/DAST/SCA
✅ GitHub Actions, GitLab CI
✅ Production
✅ Monitoring + journaux + honeypots
✅ ELK, Splunk, Fail2Ban
✅ Incident
✅ Plan de réponse défini et testé
✅ Runbooks + table-top exercices

---

Vous développez ? Vous êtes responsable de la sécurité.

Pas besoin d’être pentester pour éviter 90 % des failles.

Faites circuler cette newsletter dans vos équipes ❤️

---

Et pour aller plus loin, je vous offre 6 chapitres de cours vidéo gratuits, accessibles pendant 30 jours. (accès limité)

Pour les recevoir directement dans votre boîte mail, remplissez ce formulaire avec votre adresse email. Vous recevrez l’accès temporaire aux 6 chapitres, 5 secondes après validation : Recevoir l’accès gratuit aux ressources