Comment nous gérons la sécurité des données dans nos applications mobiles et web

Pourquoi la sécurité ne peut pas être une réflexion après coup

De nombreuses équipes de développement traitent la sécurité comme quelque chose à greffer sur le système une fois les fonctionnalités construites. C'est une erreur grave — et coûteuse à corriger.

Les vulnérabilités introduites au stade de l'architecture sont extraordinairement difficiles à corriger une fois le système en production. Un contrôle d'authentification absent sur un point d'accès API. Une requête base de données qui concatène des chaînes fournies par l'utilisateur. Un jeton de session qui n'expire jamais. Chacun de ces défauts prend trente minutes à introduire et des mois à détecter, corriger et dont se remettre.

Nous adoptons l'approche inverse. Avant qu'une ligne de code soit écrite, notre équipe établit l'architecture de sécurité : comment les données seront stockées, comment elles circuleront entre les systèmes, qui y aura accès, et ce qui se passera en cas d'incident. Nos produits — Maduuka, Aqar, nos systèmes de gestion pharmaceutique et de restauration, Longhorn ERP — sont tous construits sur cette fondation.

Toutes les données circulant entre nos applications et leurs serveurs transitent via HTTPS avec TLS 1.2 ou supérieur. Si quelqu'un intercepte le trafic réseau — via un point d'accès Wi-Fi public, par exemple — il ne voit que des octets chiffrés, illisibles.

Nous appliquons cette règle sans exception. Les connexions HTTP sont automatiquement redirigées vers HTTPS. Pour nos applications Android, nous appliquons le certificate pinning sur les points d'accès à haute sensibilité. L'application ne communique qu'avec des serveurs présentant le certificat correct et vérifié — pas n'importe quel certificat techniquement valide.

Les informations sensibles stockées sur l'appareil sont conservées dans un espace de stockage chiffré. Sur Android, nous utilisons EncryptedSharedPreferences pour les identifiants et les jetons de session. Pour les bases de données contenant des enregistrements particulièrement sensibles, nous appliquons le chiffrement Room via SQLCipher.

Côté serveur, les champs sensibles — numéros d'identification nationale, données financières, dossiers médicaux — sont chiffrés au niveau de la colonne, indépendamment des contrôles d'accès applicatifs standard. Si quelqu'un obtenait une copie brute de la base de données, il ne pourrait pas lire ces champs. Les clés de chiffrement sont gérées via des magasins de clés sécurisés et ne sont jamais intégrées dans le code source.

Nous implémentons l'authentification avec soin, sans raccourcis.

• Les mots de passe ne sont jamais stockés en clair. Nous utilisons bcrypt avec un facteur de travail calibré pour être coûteux en calcul pour les attaquants, tout en restant suffisamment rapide pour les utilisateurs légitimes.
• Les sessions sont émises sous forme de jetons cryptographiquement signés avec des fenêtres d'expiration courtes. Les sessions inactives sont invalidées automatiquement.
• L'authentification multi-facteurs est disponible et recommandée pour tous les comptes administrateurs — notamment pour les utilisateurs ayant accès aux données financières ou à la gestion des stocks dans Maduuka et Longhorn ERP.
• Le contrôle d'accès basé sur les rôles (RBAC) garantit que chaque utilisateur ne voit que ce que son rôle lui autorise. Un caissier ne peut pas accéder à la paie. Un directeur de succursale ne peut pas modifier les paramètres système globaux.

Notre code PHP et JavaScript est écrit en tenant compte du Top 10 OWASP à chaque étape.

Nos API REST sont conçues selon le principe du moindre privilège : chaque point d'accès n'expose que ce qui est strictement nécessaire, rien de plus.

Les clés API et les jetons JWT portent des revendications d'expiration et des restrictions de portée. Un jeton d'authentification émis pour l'application mobile ne peut pas être utilisé pour appeler des points d'accès API administratifs. Toutes les requêtes API provenant de nos applications mobiles sont authentifiées — il n'existe pas de points d'accès publics renvoyant des enregistrements sensibles.

La limitation de débit est appliquée aux points d'accès sensibles — authentification, réinitialisation de mot de passe et exportation de données — pour prévenir les attaques par force brute. Nous journalisons toute l'activité API à des fins d'audit : qui a accédé à quoi et quand, sans journaliser les données sensibles elles-mêmes.

Plusieurs de nos plateformes — Maduuka, Aqar, notre système de gestion pharmaceutique — servent plusieurs organisations clientes depuis une infrastructure partagée. Dans ces environnements, l'isolation stricte des tenants est non négociable.

Chaque requête base de données est délimitée par l'identifiant du tenant authentifié. Il est architecturalement impossible qu'une requête d'un tenant renvoie les enregistrements d'un autre — non pas en raison de vérifications de logique applicative ajoutées après coup, mais parce que la construction de la requête ne peut physiquement pas traverser les frontières entre tenants.

L'isolation des données entre tenants est vérifiée lors des revues de code et testée explicitement avant la mise en production de toute fonctionnalité multi-tenant.

Les bibliothèques tierces introduisent des risques lorsqu'elles ne sont pas gérées avec soin. Nous maintenons un inventaire actualisé de toutes les dépendances dans nos projets et surveillons les vulnérabilités publiées. Les bibliothèques qui ne sont plus maintenues ou qui présentent des vulnérabilités connues non corrigées sont remplacées.

Nos serveurs fonctionnent avec des installations minimales — seuls les paquets nécessaires à l'application sont présents. Les services, ports et comptes inutilisés sont supprimés. Un serveur qui ne fait tourner que ce dont il a besoin présente une surface d'attaque nettement plus réduite.

La sécurité n'est pas examinée uniquement en fin de projet. Elle fait partie de chaque étape.

Les revues de code incluent une liste de contrôle de sécurité couvrant la validation des entrées, l'encodage des sorties, les flux d'authentification et la gestion des données. Notre équipe suit des standards de codage sécurisé documentés pour PHP, Android/Kotlin et JavaScript.

Les nouvelles fonctionnalités traitant des données personnelles font l'objet d'une analyse d'impact sur la vie privée avant le début de l'implémentation. Si une nouvelle fonctionnalité d'Aqar doit stocker les coordonnées ou l'historique financier des locataires, cette analyse est réalisée avant que la fonctionnalité soit codée — pas après. Nous effectuons des audits de sécurité périodiques de nos propres plateformes à l'aide de listes de contrôle structurées.

Aucun système n'est entièrement à l'abri des incidents. Ce qui compte, c'est la rapidité et l'efficacité avec lesquelles un incident est contenu et résolu.

Nous maintenons des procédures documentées de réponse aux incidents pour nos plateformes hébergées, couvrant :

• → La détection — via une journalisation structurée qui met en évidence les schémas anormaux
• → Le confinement — des étapes spécifiques pour les scénarios de compromission d'identifiants, d'accès non autorisé et d'exposition de données
• → La communication — des protocoles pour notifier rapidement les clients affectés
• → La revue post-incident — pour combler la vulnérabilité et prévenir toute récidive

Nos clients ne sont jamais laissés à eux-mêmes pour découvrir un problème.