La CNIL vient de publier un kit des\nbonnes pratiques \u00e0 appliquer d\u00e8s la conception d\u2019une solution IT (Code, SDK,\nbiblioth\u00e8ques, etc.) selon le principe GDPR de Privacy by Design afin d\u2019am\u00e9liorer\nla gestion des donn\u00e9es et s\u00e9curiser les projets. <\/p>\n\n\n\n
https:\/\/www.cnil.fr\/fr\/kit-developpeur<\/a><\/p>\n\n\n <\/p>\n\n\n <\/p>\n\n\n\n Les premi\u00e8res recommandations\nvisent le choix des outils de travail<\/strong>\n(messagerie instantan\u00e9e, outil de planification et suivi des t\u00e2ches, outil\nd\u2019\u00e9dition collaborative de code source et de document, etc.) et l\u2019acc\u00e8s aux\ndonn\u00e9es de l\u2019entreprise. Plusieurs types de donn\u00e9es sont concern\u00e9s :<\/p>\n\n\n\n Dans le cadre du d\u00e9veloppement,\nil convient donc de maintenir \u00e0 jour les outils de l\u2019environnement de\nd\u00e9veloppement, notamment au cours du processus de compilation du code source o\u00f9\ndes vuln\u00e9rabilit\u00e9s peuvent appara\u00eetre ou de nouvelles techniques de protection\npeuvent \u00eatre int\u00e9gr\u00e9es.<\/p>\n\n\n\n https:\/\/www.cnil.fr\/fr\/choisir-ses-outils-de-travail<\/a><\/p>\n\n\n\n Les secondes sont relatives \u00e0 la s\u00e9curit\u00e9<\/strong> qui doit \u00eatre int\u00e9gr\u00e9e d\u00e8s\nla conception des projets IT et \u00e0 chaque \u00e9tape du d\u00e9veloppement.<\/p>\n\n\n\n https:\/\/www.cnil.fr\/fr\/preparer-son-developpement-en-toute-securite<\/a><\/p>\n\n\n\n https:\/\/www.ssi.gouv.fr\/uploads\/2018\/11\/guide-securite-numerique-agile-anssi-pa-v1.pdf<\/a><\/p>\n\n\n\n https:\/\/wiki.sei.cmu.edu\/confluence\/display\/seccode\/SEI+CERT+Coding+Standards<\/a><\/p>\n\n\n\n https:\/\/www.owasp.org\/index.php\/Main_Page<\/a><\/p>\n\n\n\n Les troisi\u00e8mes sont relatives \u00e0\nla gestion des codes source<\/strong>. Les\nprincipaux outils de gestion de code source (Git, Mercurial par exemple) sont\nd\u00e9centralis\u00e9s mais la grande majorit\u00e9 des d\u00e9veloppeurs utilise des solutions\ncentralis\u00e9es pour g\u00e9rer leur code source : un outil tel que Github, Gitlab,\nFramagit ou Bitbucket offre \u00e0 la fois l\u2019acc\u00e8s \u00e0 des d\u00e9p\u00f4ts Git, mais aussi \u00e0\nune interface web et \u00e0 des outils annexes (gestion des bugs, wiki pour votre\ndocumentation, etc.). Il est important de bien configurer les permissions de \u00ab\ncheck out \u00bb ou \u00ab pull \u00bb (c\u2019est-\u00e0-dire de r\u00e9cup\u00e9ration du code source) et de \u00ab\ncommit \u00bb ou \u00ab push \u00bb (c\u2019est-\u00e0-dire d\u2019enregistrement d\u2019une nouvelle version de\nvotre code). Pour ce qui est de la r\u00e9cup\u00e9ration du code source, vous pouvez\nconfigurer votre d\u00e9p\u00f4t afin de sp\u00e9cifier qui peut r\u00e9cup\u00e9rer le code source. Les\nrestrictions d\u2019acc\u00e8s doivent passer par une authentification des d\u00e9veloppeurs\net utilisateurs (mot de passe, authentification en utilisant des cl\u00e9s publiques\net priv\u00e9es, voire des certificats). Pour assurer la s\u00e9curit\u00e9 du syst\u00e8me lors de\nsa mise en production, il est tr\u00e8s fortement recommand\u00e9 d\u2019utiliser des donn\u00e9es\nfictives tout au long de la phase de test et de d\u00e9veloppement. Un code est de\nmoins en moins d\u00e9velopp\u00e9 par une seule personne et est vou\u00e9 \u00e0 \u00e9voluer dans le\ntemps. Appliquer les principes de qualit\u00e9 du code permet d\u2019en simplifier la\nmaintenance, tant sur les aspects fonctionnels que vis-\u00e0-vis de la s\u00e9curit\u00e9. Par\nailleurs, il est conseill\u00e9 de d\u00e9velopper un code propre pour le rendre\nfacilement compr\u00e9hensible aux futurs contributeurs pour le corriger, maintenir,\nle faire \u00e9voluer et l\u2019auditer. Des outils existent pour aider \u00e0 contr\u00f4ler la\nqualit\u00e9 d\u2019un code qui peuvent signaler les duplications de code, le respect des\nr\u00e8gles de programmation ou des bugs potentiels<\/p>\n\n\n\n https:\/\/www.cnil.fr\/fr\/gerer-le-code-source<\/a><\/p>\n\n\n\n https:\/\/www.cnil.fr\/fr\/renforcer-la-qualite-du-code<\/a><\/p>\n\n\n\n Les quatri\u00e8mes sont relatives \u00e0 l\u2019int\u00e9gration biblioth\u00e8ques, kits de\nd\u00e9veloppements (\u00ab SDK \u00bb), ou d\u2019autres composants logiciels \u00e9crits par des tiers :\n<\/strong> <\/p>\n\n\n\n https:\/\/www.cnil.fr\/fr\/bibliotheques-sdk-ou-outils-tiers-comment-les-integrer-dans-vos-applications<\/a><\/p>\n\n\n\n Les cinqui\u00e8mes sont relatives \u00e0 la\ndocumentation du code et de\nl\u2019architecture: <\/strong> <\/p>\n\n\n\n https:\/\/www.cnil.fr\/fr\/documenter-le-code-et-larchitecture<\/a><\/p>\n\n\n\n <\/p>\n\n\n