Le mot « vulnérabilité » est souvent mal employé.
La sécurité d’un site n’est pas binaire :
Tu ne peux pas te pointer sur un projet et dire » Ce projet n’implémente pas cette mesure de sécurité, il y a une vulnérabilité « . Ça ne fonctionne pas comme ça.
C’est comme si quelqu’un disait : « Ta maison présente un défaut de sécurité, si je viens avec un char d’assaut, je détruis ta porte blindée.
La sécurité d’un site dépend du contexte :
• Pour certains clients, une page de connexion accessible sur internet est une faille critique
• Pour d’autres, c’est un non-sujet
Il n’existe pas de référentiel ultime.
La sécurité est un processus continu qui doit s’adapter à l’écosystème et aux contraintes du projet.
Renforcer la sécurité est toujours possible, mais cela ne signifie pas qu’il y a une vulnérabilité. Je pense plutôt qu’il y a toujours des points d’amélioration.
La sécurité n’est pas une checklist, c’est un processus continu.