Tester en grandeur nature ne signifie pas tester des données clients

Par 11 décembre 2007
Mots-clés : Smart city

L'utilisation de données réelles lors de mises à l'épreuve d'applications fait courir un danger aux entreprises : les environnements de développement ne sont pas assez sécurisés.

Près des deux tiers des entreprises injectent des données relatives à leurs clients quant il s'agit de tester une application avant sa mise en production. Les entreprises ayant la sagesse de faire les essais avec des données contrefaites sont donc une minorité. C'est ce que dénonce l'éditeur américain Compuware - spécialisé dans les solutions de gestion des projets informatiques - en se basant sur une étude réalisée par Ponemon Institute, un cabinet spécialisé dans la sécurité. Selon cette étude, près de 90% des entreprises qui se basent sur des informations réelles utilisent des fichiers client, et 74% des listes de leurs acheteurs.
Numéro de carte de crédit, de sécurité sociale
Et les données liées ne sont pas anodines : numéro de client, de carte de crédit, de sécurité sociale. D'après Compuware, les entreprises pensent qu'elles sont à l'abri des ennuis en se cantonnant dans des environnements de développement bien séparés de ceux de production. A tort ! Ces environnements ne sont certes pas accessibles depuis l'extérieur, mais ils sont tout de même visibles par des personnes non autorisées. L'éditeur cite les consultants, les partenaires, ou encore les développeurs offshore. Ce n'est pas étonnant.
Les responsabilités sont diluées
Le test de logiciels est externalisé par plus de la moitié des entreprises interrogées, et près de la moitié d'entre elles partage les données injectées dans les applications avec l'organisation chargée des opérations. Les autres chiffres ne sont pas plus rassurants. 50% des sondés ignorent si les données utilisées ont pu être compromises. Moins de 40% ne sont pas capables d'affirmer qu'elles n'ont pas été volées ou perdues. Sans compter que près d'un quart ne savent pas qui est responsable de la sécurisation de informations. Deux autres groupes de proportion égale se renvoient la balle...
A lire dans les comptes-rendus des conférences :

Alors que la créativité des délinquants reste élevée... Les meilleures pratiques anti-fraudes suffisent-elles? (11/10/2007)
Comment moderniser le coeur de votre SI afin d'anticiper les prochaines échéances (réglementaires, papyboom, infogérance...) (14/06/2007)
Gestion des risques, mise en conformité, fusion, nouvelle stratégie commerciale... Contrôlez vos processus métiers avec le BPM! (29/03/2007)

L'Atelier, groupe BNP Paribas

Mentions légales © L’Atelier BNP Paribas