Checklist de sécurité pour applications web
Avant le lancement
☑ HTTPS partout (certificats SSL/TLS valides)
☑ Headers de sécurité (HSTS, CSP, X-Frame-Options)
☑ Secrets stockés securisés (env vars, vaults)
☑ Base de données chiffrée
Authentification & Autorisation
☑ Mots de passe hashs (bcrypt, argon2)
☑ JWT ou session securisée
☑ 2FA pour les comptes critiques
☑ Logout déconnecte vraiment
Protection des données
☑ Chiffrement des données sensibles en transit ET au repos
☑ Pas d'infos sensibles dans les logs
☑ Effacement securisé des données (soft delete temporaire)
Inputs & Outputs
☑ Validation stricte de tous les inputs
☑ Échappement des outputs
☑ Protection contre SQL injection, XSS, CSRF
Dépendances & Librairies
☑ Audit des packages NPM/pip/composer
☑ Mises à jour de sécurité appliquées rapidement
☑ Supply chain security (sign commits, packages)
Infrastructure
☑ Firewall configuré
☑ Port 22 SSH fermé au public
☑ Backups réguliers et testés
☑ Logs centralisés et monitoreés
Incident Response
☑ Plan de réponse aux incidents
☑ Équipe de sécurité designée
☑ Tests de récupération d'urgence
Vous avez aimé cet article?
Découvrez nos autres articles sur DevOps, Cloud et Développement.