Le développement constitue le fondement de l’architecture d’un système informatique. Or, la mise en œuvre du RGPD dans les entreprises (Règlement Général sur la Protection des Données) a mis l’accent sur l’encadrement de la phase de conception. En effet, la protection des données à caractère personnel doit être pensée en amont, c’est-à-dire au plus tôt dans les projets pour se montrer efficace. Cette anticipation permettra une meilleure défense de la vie privée des utilisateurs et des données de la société en limitant leurs pertes, vols ou altérations. Des précautions de base sont à adopter. Focus sur les grands principes de la sécurité du développement informatique des applications ou des services.
La sécurité informatique dès la conception
Les exigences relatives à la protection des données s’intègrent par définition lors de la phase de conception des systèmes informatiques. On distinguera plusieurs choix cruciaux à ce moment-là :
- l’architecture qui sera centralisée ou décentralisée ;
- les fonctionnalités, par exemple la minimisation des données ou l’anonymisation ;
- la technologie avec la possibilité du chiffrement des communications.
Par ailleurs, on prendra soin d’effectuer les tests de développement dans un environnement numérique différent de celui du cœur du métier. Ceci évidemment afin d’éviter toute perte ou détérioration de données. Ces essais pourront avoir lieu sur des ordinateurs différents en utilisant des données anonymisées (voire fictives). Autre aspect, les formats de saisie et d’enregistrement des données qui doivent minimiser leur collecte. Ce mécanisme pourrait prendre la forme de menus déroulants lors du renseignement de données d’identité (date de naissance, département, etc.) Dernière mesure préventive, lorsqu’il sera question de logiciels ou d’applications pour le grand public, on s’attèlera à intégrer un maximum de sécurité pour les données à caractère personnel dans les paramètres par défaut.
Le développement informatique, éviter certains écueils
Pour parvenir à sécuriser les phases de développement informatique, on fera attention de ne pas tomber dans les pièges liés à la facilité.
- Utiliser sans contrôle des zones de commentaires ou de textes libres.
- Intégrer les mesures de sécurité sur le logiciel ou l’application en aval du développement.
- Avoir recours à des données privées pour les tests de développement.
- Oublier d’inclure la création/gestion de profils utilisateurs dans la conception.
- Ne pas tenir compte du format de données lors de la définition de la durée de leur conservation. Si un format numérique doit être conservé plusieurs années, on privilégiera un format de remplissage ouvert.
Si on s’aperçoit aisément que l’intégration de la sécurité informatique est indispensable dans la phase de développement, on comprend aussi qu’il s’agit d’une tâche ardue. Le RGPD focalise désormais l’attention sur les données à caractère personnel et la vie privée, les contraintes sont nombreuses mais nécessaires. Vous ne savez pas comment prendre en compte la sécurité et la vie privée en amont de vos projets ? Des spécialistes du domaine peuvent vous assister. Prenez contact avec eux en remplissant ce formulaire.
