Politique de développement sécurisé — Date d'entrée en vigueur : 19 juin 2026 | Secure Development Policy — Effective date: June 19, 2026

Politique de développement sécurisé | Secure Development Policy

Cette politique garantit que la sécurité de l'information est conçue et mise en œuvre dans le cycle de vie de développement des applications et systèmes d'information.

This policy ensures that information security is designed and implemented within the development lifecycle for applications and information systems.

Langue / Language:

Responsable de la politique : Vincent Audette, Président
Date d'entrée en vigueur : 19 juin 2026

Objectif

Garantir que la sécurité de l'information est conçue et mise en œuvre dans le cycle de vie de développement des applications et systèmes d'information.

Portée

Toutes les applications et systèmes d'information d'AUDLA Inc. critiques pour l'entreprise et/ou qui traitent, stockent ou transmettent des données confidentielles. Cette politique s'applique à tous les ingénieurs et développeurs internes et externes du logiciel et de l'infrastructure d'AUDLA Inc.

Politique

Cette politique décrit les règles d'acquisition et de développement de logiciels et de systèmes applicables aux développements au sein d'AUDLA Inc.

Procédures de contrôle des changements système

Les changements aux systèmes dans le cycle de vie de développement doivent être contrôlés par des procédures formelles de contrôle des changements. Les procédures et exigences sont décrites dans la politique de sécurité des opérations d'AUDLA Inc.

Les procédures de contrôle des changements doivent garantir que le développement, les tests et le déploiement ne sont pas effectués par une seule personne sans approbation et supervision.

Les changements de code significatifs doivent être révisés et approuvés par un développeur senior ou le Président avant d'être fusionnés dans une branche de production, conformément au processus de révision de code et de déploiement disponible ici : Processus de révision de code.

Contrôle de version logiciel

Tous les logiciels d'AUDLA Inc. sont sous contrôle de version et synchronisés entre les contributeurs (développeurs). L'accès au dépôt central est restreint selon le rôle de l'employé. Tout code est écrit, testé et enregistré localement avant synchronisation vers le dépôt distant.

Révision technique des applications après changements de plateforme

Lorsque les plateformes d'exploitation changent, les applications critiques doivent être révisées et testées pour garantir l'absence d'impact négatif sur les opérations ou la sécurité de l'organisation.

Restrictions sur les modifications de progiciels

Les modifications aux progiciels tiers sont déconseillées, limitées aux changements nécessaires, et tous les changements doivent être strictement contrôlés.

Principes d'ingénierie de systèmes sécurisés

Les principes d'ingénierie de systèmes sécurisés doivent être établis, documentés, maintenus et appliqués à toute mise en œuvre de système d'information.

Au minimum, les principes secure-by-design et privacy-by-design suivants doivent être appliqués :

Les développeurs doivent respecter les normes de codage d'AUDLA Inc. tout au long du cycle de développement, incluant la qualité, les commentaires et la sécurité.

Principes secure-by-design

  • Minimiser la surface d'attaque
  • Établir des valeurs par défaut sécuritaires
  • Principe du moindre privilège
  • Principe de la défense en profondeur
  • Échouer de façon sécuritaire
  • Ne pas faire confiance aux services
  • Séparation des tâches
  • Éviter la sécurité par l'obscurité
  • Garder la sécurité simple
  • Corriger correctement les problèmes de sécurité

Principes privacy-by-design

  • Proactif plutôt que réactif; préventif plutôt que correctif
  • La confidentialité comme paramètre par défaut
  • Confidentialité intégrée à la conception
  • Fonctionnalité complète — somme positive, pas somme nulle
  • Sécurité de bout en bout — protection sur tout le cycle de vie
  • Visibilité et transparence — garder ouvert
  • Respect de la vie privée de l'utilisateur — centré sur l'utilisateur

La documentation d'ingénierie et les références techniques sont disponibles sur github.com/audla.

Environnement de développement sécurisé

AUDLA Inc. doit établir et protéger adéquatement des environnements pour le développement et l'intégration couvrant tout le cycle de vie. Les environnements suivants doivent être segregés logiquement ou physiquement :

  • Production
  • Test / Mise en scène
  • Développement

Développement externalisé

AUDLA Inc. doit superviser et surveiller le développement externalisé. Le développement externalisé doit respecter toutes les normes et politiques d'AUDLA Inc.

Tests de sécurité système

Les tests de fonctionnalités de sécurité doivent être effectués à des périodes définies durant le cycle de vie. Aucun code ne doit être déployé en production sans résultats de tests documentés et réussis, ni preuve de remédiation des problèmes de sécurité.

Gestion des vulnérabilités applicatives

Le code applicatif doit être analysé avant déploiement. Les correctifs pour vulnérabilités impactant matériellement la sécurité doivent être déployés dans les 90 jours suivant leur découverte.

Tests d'acceptation système

Des programmes de tests d'acceptation et critères associés doivent être établis pour les nouveaux systèmes, mises à niveau et nouvelles versions.

Avant tout déploiement, une liste de vérification de release DOIT être complétée, incluant tous les plans de test montrant l'achèvement des tests et la remédiation des problèmes identifiés.

Protection des données de test

Les données de test doivent être sélectionnées avec soin, protégées et contrôlées. Les données clients confidentielles doivent être protégées conformément aux contrats et engagements. Les données clients ne doivent pas être utilisées pour les tests sans permission explicite du propriétaire des données et du Président.

Acquisition de systèmes et logiciels tiers

L'acquisition de systèmes et logiciels tiers doit être effectuée conformément à la politique de gestion des tiers d'AUDLA Inc.

Formation des développeurs

Les développeurs doivent recevoir une formation au développement sécurisé adaptée à leur rôle au moins annuellement. Le contenu est déterminé par la direction, mais doit couvrir la prévention des attaques et vulnérabilités courantes des applications web. Les menaces et vulnérabilités suivantes doivent être abordées selon le contexte :

  • prévention des contournements d'autorisation
  • prévention de l'utilisation d'identifiants de session non sécurisés
  • prévention des attaques par injection
  • prévention des attaques cross-site scripting
  • prévention des attaques cross-site request forgery
  • prévention de l'utilisation de bibliothèques vulnérables

Exceptions

Les demandes d'exception à cette politique doivent être soumises au Président pour approbation.

Violations et application

Toute violation connue doit être signalée au Président. Les violations peuvent entraîner le retrait ou la suspension immédiate des privilèges système et réseau et/ou des mesures disciplinaires conformément aux procédures de l'entreprise, jusqu'au congédiement.

Historique des versions

VersionDateDescriptionAuteurApprouvé par
1.02026-06-13Version initialeVincent Audette, PrésidentVincent Audette, Président

Version maîtresse: https://audla.ca/politiques/secure-dev