Phylapp
Sécurité des développements et applications

Les erreurs fréquentes dans le développement des applications internes

Les applications internes sont sous-sécurisées malgré leurs données sensibles. Injection SQL, absence de contrôle au niveau objet, secrets dans le code et shadow development sont les erreurs structurelles les plus fréquentes.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 27 lectures

Points clés

  • Les applications internes bénéficient d'une attention sécurité systématiquement inférieure aux applications exposées publiquement — alors qu'elles traitent souvent des données plus sensibles.
  • Les erreurs les plus répandues : injection SQL, gestion d'erreurs inadéquate, absence de contrôle d'accès au niveau objet, secrets codés en dur dans le code source.
  • Le développement en mode "MVP rapide" dans les équipes métier crée des applications sans équipe sécurité impliquée et sans cycle de vie formel.
  • Les bibliothèques et frameworks tiers non mis à jour constituent une dette de sécurité croissante dans la quasi-totalité des codebases en production.
Cas US Twitter/X (2020) — Les outils d'administration interne exploités lors de l'attaque avaient été développés avec des contrôles d'accès insuffisants pour leur niveau de sensibilité. Des applications internes aux permissions très étendues avaient été conçues avec une hypothèse de confiance totale envers les utilisateurs internes — une erreur de conception dans l'architecture de contrôle d'accès des applications d'administration.

Le paradoxe des applications internes

Les applications internes — outils de reporting, portails RH, applications de gestion métier développées en interne — bénéficient souvent d'une attention sécurité bien inférieure aux applications exposées publiquement. Ce paradoxe est contre-intuitif : ces applications traitent souvent des données plus sensibles (données employés, données financières internes, informations stratégiques) et leurs vulnérabilités sont exploitables par tout attaquant ayant obtenu un accès initial au réseau interne.

L'hypothèse sous-jacente — "c'est interne, donc c'est protégé par le périmètre réseau" — est invalidée par deux évolutions : la compromission du périmètre est régulièrement réalisée via le phishing ou la compromission de comptes utilisateurs, et le modèle Zero Trust remet en question la notion même de réseau interne de confiance. Une application interne vulnérable est un vecteur de propagation latérale et d'élévation de privilèges pour un attaquant ayant franchi le périmètre.

Les vulnérabilités les plus fréquemment observées

L'injection SQL reste la vulnérabilité la plus fréquemment identifiée dans les applications internes lors des audits, malgré des années de sensibilisation. Elle résulte d'une construction de requêtes SQL par concaténation de chaînes incluant des entrées utilisateur non validées — une pratique que les ORM modernes et les requêtes paramétrées éliminent, mais qui persiste dans les applications développées avant leur généralisation ou par des développeurs non sensibilisés.

L'absence de contrôle d'accès au niveau objet (Broken Object Level Authorization — BOLA dans l'OWASP API Top 10) est une autre erreur structurelle fréquente : une application vérifie que l'utilisateur est authentifié mais ne vérifie pas s'il est autorisé à accéder à l'objet spécifique qu'il demande (un autre utilisateur, un document appartenant à une autre entité). Cette vulnérabilité permet l'accès non autorisé à des ressources en modifiant simplement un identifiant dans l'URL ou la requête API.

Les secrets dans le code source

La présence de secrets (clés API, credentials de bases de données, tokens d'authentification) codés en dur dans le code source est l'une des erreurs les plus communes et les plus impactantes. Elle résulte de la commodité du développement — stocker un credential dans le code pour ne pas avoir à configurer un gestionnaire de secrets — et de l'absence de contrôles automatiques dans les pipelines de déploiement.

Des outils de détection de secrets dans le code (GitLeaks, TruffleHog, git-secrets, Semgrep) permettent de scanner les dépôts pour identifier ces expositions. Ces outils doivent être intégrés dans les hooks pre-commit et les pipelines CI/CD pour détecter les secrets avant qu'ils atteignent le dépôt. La gestion des secrets doit être déléguée à des solutions dédiées (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) et les variables d'environnement ne doivent pas être substituées au code mais documentées dans les procédures de déploiement.

Cas EU Samsung (2022) — La fuite de code source Samsung via les systèmes GitLab a notamment exposé des secrets (clés d'accès, certificats) qui avaient été commis dans le dépôt lors de développements internes. L'absence de contrôles automatiques de détection de secrets dans les pipelines de développement Samsung avait permis à ces données sensibles de s'accumuler dans l'historique du dépôt.

Le shadow development et les applications métier non gouvernées

Le développement d'applications métier par les équipes non-IT — via des outils low-code/no-code, des scripts Python ou R développés par des data scientists, des automatisations Power Automate — crée un "shadow development" analogue au shadow IT. Ces applications traitent souvent des données sensibles, sont rarement soumises à des revues de sécurité, et ne bénéficient d'aucun cycle de vie formel (mise à jour des dépendances, tests de sécurité, procédure de décommissionnement).

La gouvernance du développement applicatif doit donc couvrir ce périmètre, avec une approche proportionnée à la sensibilité des données traitées plutôt qu'une interdiction systématique qui ne ferait que rendre ces développements encore moins visibles.

Cas Asie Air India (2021) — L'investigation post-incident sur la fuite de 4,5 millions de dossiers passagers a identifié des vulnérabilités dans les interfaces de programmation du système de réservation tiers. Les applications internes qui se connectaient à ce système n'avaient pas de contrôles d'accès granulaires sur les données auxquelles elles pouvaient accéder, permettant une exfiltration massive une fois l'accès initial obtenu.

Articles similaires

Les applications deviennent la première surface d’exposition des organisations

Les applications web, mobiles et les APIs représentent la première surface d'attaque. La dette technique des applications legacy, la prolifération des APIs et l'absence de sécurité dans le cycle de vie applicatif constituent les vulnérabilités structurelles.

24 mai 2026 7 min

Pourquoi la sécurité doit être intégrée dès la conception des logiciels

Le coût de correction d'une vulnérabilité croît de 1 à 100 entre conception et production. La modélisation des menaces et la formalisation des exigences de sécurité dès la spécification sont les fondements du secure by design.

24 mai 2026 7 min

Les signaux d’une application insuffisamment sécurisée

Les signaux d'une application insuffisamment sécurisée sont détectables : logs non monitorés, messages d'erreur verbeux, scores SAST/SCA dégradés et architecture de contrôle d'accès défaillante. Chaque signal est un précurseur d'incident.

24 mai 2026 7 min
WhatsApp