Jusqu’à l’AFUP Day 2025, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

La conférence

Shift Left pour renforcer la sécurité des applications PHP Cette conférence aborde les enjeux de la sécurité des applications PHP, en mettant l'accent sur la partie intégration continue (CI) comme un aspect crucial du workflow DevSecOps. L'objectif est de faire un retour d'experience sur notre méthodologie de travail chez Yogosha, plateforme de sécurité offensive, à travers un PoC (Proof of Concept). Ce PoC montre comment intégrer des pratiques de sécurité tout au long du cycle de développement, afin d'identifier et de prévenir les failles de sécurité de manière plus proactive. Au programme : Scan de vulnérabilités SAST (Static Application Security Testing) Fuzzing DAST (Dynamic Application Security Testing)

Maurice 16/05/2025 17:25-18:05

Des outils comme Dependabot et Renovate permettent d’avoir les dépendances de nos applications le plus à jour possible. Penses-tu qu’une bonne hygiène de ces dépendances est suffisant pour garantir une sécurité correcte ?

C’est une excellente pratique de mettre à jour ses dépendances le plus rapidement possible. Encore faut-il pouvoir le faire, car cela peut avoir un impact significatif sur l’application. Pour y parvenir de manière réactive et régulière, une suite de tests fonctionnels et unitaires solide est essentielle, au moins sur les fonctionnalités critiques. C’est ce qui permet, sur le long terme, de maintenir un bon niveau de mise à jour.

Mais est-ce suffisant pour garantir une sécurité correcte ? La réponse est non.

• Le code applicatif reste la source principale de vulnérabilités. Aujourd’hui, la majorité des failles ne viennent pas uniquement des dépendances, mais de problèmes de logique métier, comme des permissions mal gérées.
• Les dépendances introduisent des risques difficiles à maîtriser. Mettre à jour ses dépendances directes est une chose, mais qu’en est-il de celles qu’elles embarquent, et de toute la chaîne en cascade ?

Malheureusement la sécurité est souvent négligée, c’est un fait. Selon toi, à partir de quel type de projet ou d’équipe faut-il commencer sérieusement à mettre en place des étapes de CI à ce sujet ?

Pour moi il n’y a pas de taille minimale ou de type de projet pour commencer. Ce qui importe avant tout, c’est que l’équipe ait une culture sécurité et qu’elle dédie du temps à la réflexion et à la mise en place d’actions concrètes.
Faire des tests fonctionnels et unitaires, c’est déjà faire de la sécurité. Un jeu de tests robuste, notamment sur les permissions, est une première étape.

Ensuite, le curseur dépend des données manipulées. Plus elles sont sensibles (médicales, étatiques, sociales, etc.), plus les exigences en matière de sécurité doivent être élevées. Dans ces cas-là, chaque choix de développement doit être guidé par la sécurité.

Selon-toi est-ce que l’IA peut être une aide dans la détection de vulnérabilité de notre code ? Ou, au contraire, offrir notre code à une IA est une vulnérabilité ?

Exposer du code à une IA peut être une vulnérabilité si certaines précautions ne sont pas prises, notamment l’anonymisation des données sensibles. Il faut garder à l’esprit qu’aujourd’hui la nouvelle zone d’attaque est l’IA. L’exemple récent est deepseek qui, peu de temps après sa sortie, a exposé une base clickhouse avec presque un million de logs de requêtes utilisateur.
Mais l’IA peut aussi être un atout, notamment dans l’analyse des vulnérabilités et l’évaluation de leur impact.
De manière générale, elle joue un double rôle :

• Améliorer la détection et le patch des vulnérabilités, en facilitant l’analyse des failles et en accélérant la réponse aux incidents.
• Augmenter le volume et la complexité des attaques, notamment via l’automatisation et la génération de code malveillant plus sophistiqué.

Une conférence présentée par

Ambroise ROUGIER

Développeur/ DevSecOps chez Yogosha, plateforme spécialisée en sécurité offensive.

Autres intervenants