Le CLUSIF a publié une version traduite en Anglais de son rapport sur la sécurité des applications web, initialement publié en Français en septembre dernier.

Le document est précis, succinct et comporte de nombreuses recommandations. J'en recommande donc fortement la lecture!

Ça y est, c'est décidé, vous allez déléguer la gestion complète de certaines activités logicielles (conception, développement, déploiement, support, hébergement, maintenance) à un partenaire afin d'économiser des coûts. Salaires des collaborateurs, de leurs vacances, gestion électronique des documents, applications métier, tout sera en ligne afin d'économiser des coûts à tous les niveaux: infrastructure, ressources humaines, opérations, et j'en passe.

C'est le Software as a Service, le SaaS (ou l'ASP pour ceux qui ont compris qu'on n'a rien inventé mais que ça excite le marketing d'avoir de nouveaux mots) c'est certainement estampillé cloud computing, c'est tendance, c'est génial et ça le fait lorsque vous en parlez à d'autres directeurs!

Pourtant, vos données ne sont désormais plus chez vous. Elles sont ailleurs.

Où sont-elles? Qui les protège? Comment sont-elles protégées? Quelles sont les garanties de sécurité dont vous disposez? Les avez-vous contractualisées?

Pour vous aider à gérer ces risques, vous trouverez ci-après une liste de points de contrôles à valider en amont de la conclusion d'un accord avec votre partenaire.
lire la suite »

J'ai été particulièrement surpris (en mal) d'apprendre que les aspects sécuritaires et la protection des donnée personnelles dans les cycles de développement logiciel ou dans les applications web ne seront pas traités lors de la conférence Cansecwest à Vancouver cette semaine.

Du coup, c'est peut-être pourquoi je le suis beaucoup moins lorsque je constate que l'on reproduit la même erreur en Suisse romande en ignorant totalement ces mêmes sujets lors de la conférence Microsoft Techdays, le 14 avril prochain à Genève.

Dommage, encore une fois...

Ce sera bientôt une tradition je le sens: je co-organise une conférence sur l'intégration des technologies d'authentification forte dans les applications web, qui se tiendra jeudi prochain à Genève.

Une fois de plus, l'observation de la distribution professionnelle des inscrits révèle une très maigre participation de la part de la communauté de développeurs, architectes et chefs de projets web dans de la région suisse romande.
Pourquoi?

^{(Je tiens à préciser que ce billet n'a pas pour vocation de remplir désespérément des sièges: plus de 250 personnes sont déjà inscrites à l'évènement, cela dépasse de loin toutes mes attentes et nous pose déjà de nombreuses préoccupations logistiques.)}
lire la suite »

(Californie, E-U.). Les utilisateurs du service de partage d'images en ligne mis à disposition par la société RockYou ont déposé un recours collectif (class action) devant les tribunaux américains.

Le plaignant reproche à la société éditrice du service, RockYou, entre autres, d'avoir négligé la sécurité de l'application conformément aux bonnes pratiques en vigueur, constituant dès lors une violation du contrat établi entre les utilisateurs et le développeur du service ainsi qu'une exposition par négligence des données personnelles de plusieurs millions d'utilisateurs .
lire la suite »