Hier, j’ai reçu un message d’un « expert sécurité » qui me listait tous les défauts d’un site livré à un client.
Après avoir testé le site avec un outil en ligne, il m’expliquait que nous n’étions « pas au niveau » et évidemment, il proposait ses services pour « corriger tout ça ».
Ce genre de démarche me laisse perplexe.
De manière générale, je trouve ça assez malvenu de critiquer des projets web auxquels on n’a pas participé.
Un test en ligne ne suffit pas à juger de la qualité d’un travail :
‣ Vous ne connaissez pas les contraintes du projet
‣ Vous ignorez les compromis négociés avec le client
‣ Vous ne savez pas quand le projet a été livré
‣ Peut-être que nous avons proposé des améliorations qui ont été refusées
Un test de sécurité automatique ne teste que la surface.
C’est comme juger un livre à sa couverture.
Un projet web, ce n’est pas qu’une affaire de code ou de performances. Ce n’est jamais tout blanc ou tout noir. Il y a toujours une balance à trouver entre l’idéal technique et les contraintes du client.