Qu'est-ce que la sécurité des applications?
La sécurité des applications inclut les mesures situées dans un programme informatique conçu pour déterminer les ressources spécifiques de l'application auxquelles un utilisateur individuel est autorisé à accéder. Ces mesures sont déterminées par les stratégies de sécurité et de données mises en œuvre dans l'application spécifique. Les types spécifiques de sécurité des applications incluent la validation des entrées, l'authentification, l'autorisation, la gestion de la configuration, la gestion des sessions, la gestion des exceptions, l'audit et la journalisation.
Lorsqu'un programme ou une application informatique est en cours de développement, les droits accordés à des utilisateurs individuels et des données sont identifiés. Ces droits et limitations sont ensuite implémentés dans l'application en tant que sécurité d'application. En fonction du nombre de processus métier pris en charge par l'application spécifique, la sécurité peut être mineure ou étendue.
La sécurité de l'application concerne la saisie valide d'informations dans un programme. Ceci empêche un utilisateur de mettre dans le système des informations connues pour être mauvaises. Ces types de validations peuvent inclure la vérification d'un numéro spécifique par rapport à un ensemble de nombres valides. Cela peut inclure permettre à un utilisateur de choisir dans une liste spécifique de points de données plutôt que de lui donner la possibilité d'insérer un élément.
L'authentification est le processus de validation d'un utilisateur et comment un utilisateur peut accéder à l'application. Certaines applications peuvent permettre à un utilisateur d'accéder au programme depuis n'importe où dans le monde, à condition que cet utilisateur insère les informations d'accès de sécurité correctes. Des vérifications d'authentification de temps et d'emplacement peuvent être définies dans d'autres applications. Ces restrictions déterminent quand et où un utilisateur individuel peut accéder au système. Si un utilisateur tente d'accéder au système en dehors de ces paramètres, il ne se verra pas accorder l'accès au système.
L'autorisation est la façon dont le programme fonctionne avec différents niveaux de privilèges d'utilisateur au sein d'une application. Il peut y avoir différents niveaux d'autorisations pour les utilisateurs d'un programme. Une personne chargée de la saisie de données peut être autorisée à insérer des données dans le système mais pas à effectuer des modifications. Le niveau d'autorisation suivant accorde à un tel utilisateur la possibilité d'apporter des modifications. Le nombre de niveaux d'autorisation dépend des stratégies commerciales mises en œuvre dans le programme.
La gestion de la configuration, la gestion de session et la gestion des exceptions sont des processus de gestion plus détaillés qui intègrent les autres aspects de la sécurité des applications pour prendre en charge des processus spécifiques au sein de l’application. La gestion de la configuration concerne principalement l'accès à l'administration de l'application. La gestion de session concerne chaque session d'utilisation de l'application. La gestion des exceptions fournit des informations aux principaux administrateurs système lorsqu'un accès non autorisé au système est tenté.
Les aspects d'audit et de journalisation de la sécurité des applications sont définis dans le système pour indiquer qui a fait quoi et à quel moment. Cela permet aux administrateurs système de savoir quand un utilisateur spécifique était sur le système et ce que cet utilisateur a fait lorsqu'il était sur le système. Cette information est impérative pour les rapports.