L’OWASP (Open Web Application Security Project) est une organisation communautaire mondiale ouverte et indépendante. Elle a pour objectif d’organiser, promouvoir, développer et maintenir des applications sûres. Tous les projets et manifestations de l’OWASP sont libres et ouverts aux personnes intéressées par la sécurité des applications Web.
L’OWASP est une organisation d’un nouveau genre, sa liberté par rapport aux influences commerciales lui permettant de fournir des informations pratiques et non influencées concernant la sécurité des applications Web. L’OWASP n’est liée à aucune société commerciale, bien qu’elle puisse fournir des informations à propos des technologies de ces dernières sociétés. Comme beaucoup d’organisations Open Source, l’OWASP produit différents contenus et outils dans un esprit collaboratif et ouvert.
L’OWASP est dirigée par un bureau composé d’experts dans leur domaine respectif et permettant de couvrir tous les aspects de la sécurité Applicative (Education, Technique, Juridique, ….). Une fondation américaine permet de récolter des fonds alimentant les programmes de recherches sponsorisés par l’OWASP.
L’OWASP organise chaque année plusieurs conférences sur le thème de la sécurité applicative. La dernière vient d’avoir lieu au Portugal du 3 au 7 novembre 2008. Ces conférences sont le moment de démontrer des concepts et de présenter des projets, tout comme former aux dernières techniques. Le contenu de l’OWASP est utilisé ou cité comme référentiel de bonnes pratiques par de nombreux organismes : ‐ Federal Trade Commission (US Gov), ‐ US Defense Information Systems Agency ‐ VISA (Cardholder Information Security Program) – PCI/DSS, ‐ Le NIST, ‐ des opérateurs télécoms français, ‐ le groupe Accor, ‐ le ministère de l’Intérieur, ‐ des banques et assureurs français, ‐ Microsoft, Google, Yahoo, ….
La problématique de la sécurité applicative
La sécurité n’est pas un évènement ponctuel. Sécuriser un code juste une fois ne suffit pas. Une démarche de programmation sécurisée doit composer avec toutes les étapes du cycle de vie d’un programme. Les applications web sécurisées sont seulement possibles quand un SDLC (i.e. Software Development Life Cycle) sécurisé est utilisé.
Les programmes sûrs sont sécurisés par conception, pendant le développement et par défaut. Il y a au moins 300 problèmes affectant l’ensemble de la sécurité d’une application web. Ces 300 problèmes sont détaillés dans le Guide de l’OWASP, lecture essentielle et indispensable à toute personne développant des applications web aujourd’hui.
