Phylapp
Sécurité des développements et applications

Pourquoi la sécurité applicative est souvent traitée trop tard

La sécurité applicative est systématiquement déprioritisée face au time-to-market. Les revues en bout de cycle arrivent trop tard. Intégrer la sécurité dans les définitions d'acceptation des sprints est la réponse structurelle.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 18 lectures

Points clés

  • La sécurité applicative est systématiquement déprioritisée face aux impératifs de délai de mise sur le marché — jusqu'à ce qu'un incident crée une pression inverse.
  • La dette technique de sécurité accumulée en phase de développement devient une contrainte opérationnelle coûteuse en production.
  • Les revues de sécurité réalisées uniquement en fin de cycle (avant déploiement) arrivent trop tard pour permettre des corrections architecturales.
  • Intégrer la sécurité dans les critères d'acceptation de chaque sprint est la seule réponse structurelle aux déprioritisations systématiques.
Cas US LastPass (2022) — L'investigation post-incident a révélé que des aspects de l'architecture de sécurité du coffre-fort — notamment les paramètres de dérivation de clé depuis le mot de passe maître — n'avaient pas été mis à jour pour les anciens comptes, malgré l'évolution des recommandations. La sécurité applicative avait été déprioritisée face aux nouvelles fonctionnalités, accumulant une dette qui s'est révélée impactante lors de la compromission.

La pression du time-to-market comme cause structurelle

La déprioritisation de la sécurité applicative face aux délais de mise sur le marché est un phénomène bien documenté. Dans les cycles de développement courts (Agile, sprints de deux semaines), la sécurité est souvent reléguée en fin de backlog ou traitée comme une condition non-fonctionnelle qui peut être adressée "dans une version future". Cette logique est renforcée par l'absence de conséquence immédiate visible de la déprioritisation — la vulnérabilité ne crée pas de problème immédiat visible, contrairement au bug fonctionnel qui empêche un utilisateur d'utiliser l'application.

La pression commerciale s'exerce donc de manière asymétrique : les délais de livraison sont visibles et mesurés, les risques de sécurité sont invisibles et probabilistes. Sans mécanisme institutionnel qui équilibre ces pressions, la sécurité perd systématiquement l'arbitrage au profit du délai.

Les revues en bout de cycle comme anti-pattern

La "Penetration Test before Go-Live" est un anti-pattern bien identifié en sécurité applicative. Réaliser un test d'intrusion complet de l'application quelques semaines avant la mise en production présente deux problèmes majeurs. D'abord, les vulnérabilités découvertes à ce stade peuvent nécessiter des corrections architecturales importantes — qui sont incompatibles avec les délais de mise en production. La pression conduit alors à documenter les vulnérabilités comme "risques acceptés" ou à les corriger superficiellement sans traiter la cause racine. Ensuite, ce format ponctuel ne détecte que les vulnérabilités présentes au moment du test — les nouvelles dépendances ajoutées après le test, les modifications de configuration lors du déploiement, les évolutions post-production ne sont pas couvertes.

La réponse n'est pas de supprimer les tests d'intrusion avant mise en production — ils restent utiles comme validation finale. C'est d'ajouter des contrôles de sécurité continus tout au long du cycle, qui détectent les problèmes au moment où ils coûtent le moins à corriger.

La dette de sécurité comme passif croissant

Chaque décision de déprioritisation de la sécurité crée une dette technique spécifique à la sécurité. Cette dette s'accumule silencieusement : une bibliothèque non mise à jour, une architecture d'authentification qui n'a pas été modernisée, un mécanisme de gestion des sessions qui ne respecte plus les standards actuels. Contrairement à la dette technique fonctionnelle qui ralentit les nouvelles fonctionnalités, la dette de sécurité ne crée pas de friction visible — jusqu'à ce qu'elle soit exploitée.

La quantification de la dette de sécurité est possible via des métriques issues des scanners SAST/DAST (nombre de vulnérabilités en backlog, âge moyen des vulnérabilités non traitées, temps de résolution moyen). Présenter ces métriques comme un "security debt ratio" à la direction permet de rendre visible une réalité qui resterait sinon invisible jusqu'à l'incident.

Cas EU EasyJet (2020) — L'analyse post-incident a mis en évidence que des pratiques de développement non sécurisées — notamment le stockage de données sensibles dans des environnements de test — s'étaient accumulées sur plusieurs années sans être traitées. La dette de sécurité accumulée avait créé une surface d'exposition significative qui n'était pas visible dans les indicateurs opérationnels standard.

Intégrer la sécurité dans les définitions d'acceptation

La réponse structurelle à la déprioritisation systématique de la sécurité est son intégration dans les définitions d'acceptation (Definition of Done) des cycles de développement. Quand un item de backlog n'est considéré "done" que si les critères de sécurité associés sont satisfaits — revue de code avec vérification des contrôles d'accès, scan SAST sans vulnérabilités critiques non résolues, dépendances mises à jour — la sécurité devient une condition nécessaire à la livraison, pas une option reportable.

Cette intégration nécessite un investissement initial (définition des critères, formation des équipes, outillage) et un changement culturel dans les équipes de développement. Elle est facilitée par l'adoption d'un modèle DevSecOps formalisé, avec le sponsorship visible de la direction.

Cas Asie Cathay Pacific (2018) — Les vulnérabilités exploitées lors de la compromission existaient dans des applications qui n'avaient pas été auditées depuis des années. Les cycles de développement de Cathay Pacific n'intégraient pas de revues de sécurité régulières dans leurs processus de release, laissant s'accumuler une dette de sécurité non mesurée et non priorisée.

Articles similaires

Les applications deviennent la première surface d’exposition des organisations

Les applications web, mobiles et les APIs représentent la première surface d'attaque. La dette technique des applications legacy, la prolifération des APIs et l'absence de sécurité dans le cycle de vie applicatif constituent les vulnérabilités structurelles.

24 mai 2026 7 min

Pourquoi la sécurité doit être intégrée dès la conception des logiciels

Le coût de correction d'une vulnérabilité croît de 1 à 100 entre conception et production. La modélisation des menaces et la formalisation des exigences de sécurité dès la spécification sont les fondements du secure by design.

24 mai 2026 7 min

Les erreurs fréquentes dans le développement des applications internes

Les applications internes sont sous-sécurisées malgré leurs données sensibles. Injection SQL, absence de contrôle au niveau objet, secrets dans le code et shadow development sont les erreurs structurelles les plus fréquentes.

24 mai 2026 7 min
WhatsApp