Les 9 objections à la sécurité des sites internet - Développement externalisé

Les entreprises qui externalisent leurs développements se reposent en général sur un principe pour la sécurité : elle incombe de facto aux fournisseurs. A eux de veiller dans leur développement aux failles de sécurité, à mettre en place un cycle de développement sécurisé, à vérifier par des processus internes la sécurité constante du développement, etc.

Pourtant, les fournisseurs de logiciels ne devraient pas être implicitement de confiance pour délivrer du code sécurisé car ils n'ont aucune exigence de le faire. L’expérience montre que les fournisseurs et les clients possèdent souvent des opinions très différentes sur ce qui a été convenu.

Pour prévenir les conflits et les déceptions, les contrats de développement de logiciels devraient exiger que les fournisseurs précisent comment la sécurité de leurs logiciels est testée. Il faut demander de décrire leur processus interne ou peut-être que le code soit testé par une société tierce avant d’accepter.

De plus, pour prévenir les risques à long terme, les vendeurs devraient être tenus de réparer les vulnérabilités identifiées dans un certain laps de temps avant et après la recette et aussi longtemps que le client compte sur le logiciel.