Comment j'ai découvert ce livre ?

"Business people don't have a consistent model in their head. They know what to do when a situation arises. In our (developers) head, we need to resolve that."@jessitron

— Romain Berthon (@RomainTrm) April 3, 2020

Le livre : constats

• La sécurité est souvent traité comme un sujet à part
• On ne peut pas apporter une réponse spécifique à chaque menace
  • trop nombreuses
  • vous en ignorerez toujours certaines

Le livre : typologie de menaces

CIA-T

• Confidentiality
• Integrity
• Availability
• (Tracability)

À noter qu'une menace n'implique pas toujours une personne mal intentionnée

Le livre : l'approche

Réduire les failles "by design"

• patterns de code
• usage d'outils (liés aux environnements)
• études de cas

Techniques de modélisations qui améliorent la robustesse/sécurité de l'application

Le livre : les thèmes

• Code design

• Le logging (data leak, attaque de 2nd ordre)

• Attaque par exploitation de business rules

• Architecture à plus haut niveau

• Cloud / micro-services

• Stratégies de tests et de CI/CD

• Stratégies dans du code legacy

• Questionnement sur la sensibilité/confidentialité des informations

Le livre : le mot de fin

• Ces principes rendent les applications plus robustes
• Ils ne dispensent pas :
  • de mesures dédiées à la sécurité
  • de s'informer sur ces sujets