Phylapp
Sécurité des développements et applications

Le rôle des équipes métiers dans la sécurité des applications

Les équipes métier sont co-auteurs de la surface d'exposition applicative via leurs décisions fonctionnelles. Sensibiliser les Product Owners et adopter le modèle tripartite Métier-Développement-Sécurité est la réponse organisationnelle.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Les équipes métier sont co-responsables de la sécurité des applications qu'elles commanditent — leurs exigences fonctionnelles ont des implications de sécurité directes.
  • Les Product Owners et Business Analysts doivent être capables de formuler des exigences de sécurité et d'intégrer des user stories de sécurité dans le backlog.
  • Les décisions métier sur les données collectées, les intégrations système et les accès utilisateurs ont des conséquences directes sur la surface d'exposition applicative.
  • La collaboration tripartite Métier-Développement-Sécurité est le modèle organisationnel le plus efficace pour produire des applications sûres.
Cas US Capital One (2019) — La compromission de 100 millions de dossiers a été initiée via une misconfiguration du WAF protégeant une application de traitement de demandes de crédit. Les équipes métier avaient demandé des capacités de traitement qui avaient conduit à des choix d'architecture (déploiement AWS avec certains services) dont les implications de sécurité n'avaient pas été correctement évaluées lors de la spécification.

Les équipes métier comme co-auteurs de la surface d'exposition

La surface d'exposition d'une application est en grande partie déterminée par les décisions fonctionnelles prises lors de sa conception : quelles données sont collectées, avec quelle granularité, pendant combien de temps ; quels utilisateurs ont accès à quelles fonctionnalités ; quels systèmes tiers sont intégrés et avec quels droits d'accès ; quels événements sont journalisés. Ces décisions sont prises par les équipes métier — Product Owners, Business Analysts, responsables fonctionnels — souvent sans qu'elles réalisent leur impact direct sur la sécurité.

Un formulaire d'inscription qui collecte la date de naissance, le numéro de téléphone et l'adresse complète "parce que marketing en a besoin" crée une base de données de données personnelles sensibles qui doit être protégée. Une intégration API avec un prestataire logistique qui partage les données de commandes en temps réel crée une surface de données exposée à la chaîne de valeur du prestataire. Ces décisions sont fonctionnelles dans leur nature, mais leurs implications de sécurité sont réelles.

Sensibiliser les Product Owners à la sécurité

La sensibilisation des Product Owners et Business Analysts à la sécurité applicative ne vise pas à en faire des experts techniques — elle vise à les rendre capables de poser les bonnes questions lors de la spécification et de collaborer efficacement avec les équipes de sécurité. Quelques compétences clés suffisent : comprendre les principes de minimisation des données (ne collecter que ce qui est nécessaire), savoir formuler des user stories de sécurité (en tant qu'utilisateur, je ne dois pas pouvoir accéder aux données d'un autre utilisateur), et identifier les fonctionnalités qui requièrent une revue de sécurité spécifique (paiement, gestion des accès, intégrations avec l'extérieur).

Cette sensibilisation réduit les frictions avec les équipes de développement et de sécurité en amont, en produisant des spécifications qui intègrent les considérations de sécurité dès le départ — réduisant le nombre de demandes de modification tardives coûteuses.

Les décisions métier à impact sécurité

Certaines décisions métier ont des impacts de sécurité directs que les équipes fonctionnelles doivent apprendre à identifier. La décision d'activer une fonctionnalité de partage de données entre utilisateurs crée un risque BOLA (Broken Object Level Authorization) si l'architecture de contrôle d'accès n'est pas adaptée. La décision d'intégrer un outil de marketing automation qui accède aux données CRM clients expose ces données aux politiques de sécurité du prestataire. La décision de donner accès aux données de production à une équipe de data analysts externe implique la mise en place de contrôles d'accès et d'anonymisation adaptés.

Un processus de security impact assessment pour les nouvelles fonctionnalités significatives — réalisé conjointement entre les équipes métier, développement et sécurité — permet d'identifier ces impacts en amont et de prendre des décisions éclairées, avec les compensations techniques appropriées.

Cas EU EasyJet (2020) — Des données de cartes de crédit stockées dans les environnements de développement provenaient de copies de données de production utilisées pour les tests — une pratique métier commune qui avait été décidée par les équipes fonctionnelles sans évaluation des implications de sécurité. La décision d'utiliser des données de production pour les tests avait créé une surface d'exposition non anticipée dans un environnement moins sécurisé que la production.

Le modèle de collaboration tripartite

Le modèle organisationnel le plus efficace pour produire des applications sûres associe systématiquement trois perspectives : le Métier (qui définit les besoins fonctionnels et les contraintes business), le Développement (qui implémente les solutions techniques), et la Sécurité (qui identifie les risques et les exigences de protection). Cette collaboration n'est pas séquentielle (Métier spécifie, Développement code, Sécurité vérifie) — elle est itérative et simultanée, avec les trois perspectives représentées dès la phase de conception.

Ce modèle implique que les équipes sécurité aient une capacité à s'engager dans les projets dès la spécification — ce qui nécessite des ressources dédiées et un positionnement de la sécurité comme partenaire des projets, pas comme organe de contrôle externe.

Cas Asie Air India (2021) — Le système de réservation tiers compromis gérait des données dont la sensibilité (numéros de carte de crédit, données de passeport) avait été décidée par les équipes métier comme nécessaire pour la fluidité du processus de réservation. L'évaluation des implications de sécurité de cette décision de collecte de données n'avait pas été réalisée conjointement avec les équipes de sécurité au moment de la conception du flux.

Articles similaires

Les applications deviennent la première surface d’exposition des organisations

Les applications web, mobiles et les APIs représentent la première surface d'attaque. La dette technique des applications legacy, la prolifération des APIs et l'absence de sécurité dans le cycle de vie applicatif constituent les vulnérabilités structurelles.

24 mai 2026 7 min

Pourquoi la sécurité doit être intégrée dès la conception des logiciels

Le coût de correction d'une vulnérabilité croît de 1 à 100 entre conception et production. La modélisation des menaces et la formalisation des exigences de sécurité dès la spécification sont les fondements du secure by design.

24 mai 2026 7 min

Les erreurs fréquentes dans le développement des applications internes

Les applications internes sont sous-sécurisées malgré leurs données sensibles. Injection SQL, absence de contrôle au niveau objet, secrets dans le code et shadow development sont les erreurs structurelles les plus fréquentes.

24 mai 2026 7 min
WhatsApp