Avec le développement de l’Internet au Maroc, les administrations publiques cherchent de plus en plus d’avoir une présence sur l’Internet via des sites web ou des applications web offrant des services aux citoyens ou aux tierces entités. Cependant, les vulnérabilités de ces applications Web sont désormais le vecteur le plus important des attaques dirigées contre la sécurité des systèmes d’information de ces administrations. En effet, D’après les différents rapports publiés cette année par les observatoires et sociétés de sécurité informatiques, les attaques web sont en constante augmentation. Les conséquences peuvent être très lourdes pour les administrations victimes de cette situation:

•  Atteinte à l’image de l’administration,
•  Une défiguration du site pour relayer un message politique (hacktivisme), pour dénigrer ou pour revendiquer son attaque,
•  Mise en danger de l’intégrité du système d’information,
•  Exfiltration des données et d’information sensibles.

A cet effet, nous ne pouvons plus nous permettre de tolérer les problèmes les plus simples comme ceux présentés dans le Top 10 OWASP qui sont dus principalement à un développement et un déploiement non sécurisé. Ainsi, la mise en place de méthodes et d’outils pour gérer le développement et le contrôle qualité des applications s’avère plus que nécessaire pour réduire leur vulnérabilité.

Dans ce cadre, le présent guide se propose d’aider les responsables de la sécurité des systèmes d’information, à travers la présentation des règles de sécurité devant être respectées pendant les différentes phases du cycle de vie d’une application, à mieux sécuriser leurs applications web. Ainsi, le présent document est organisé en quatre parties :

•  La première partie présente les recommandations de base à respecter, notamment les clauses de sécurité à intégrer dans le cahier des spécifications spéciales ainsi que la formation ;
•  La deuxième partie est consacrée aux meilleures pratiques permettant d’éviter les failles les plus connus dans le développement des applications web.
•  Enfin, La troisième partie porte sur les bonnes pratiques à respecter lors du déploiement et la mise en production d’une application web. Aussi, elle explique le processus de détection des incidents ainsi que la conduite à tenir au cas où un incident se produit.