Skip to Content
SécuritéPartie 1 — Comprendre la sécuritéVue d'ensemble

Partie 1 — Comprendre la sécurité

⏱️ TL;DR — Avant la moindre ligne de code défensif, il faut le cadre mental. Cette partie pose les fondations : pourquoi la sécurité est ton problème (pas celui d’un ops ou d’un pentester de fin de projet), les trois propriétés qu’on protège (CIA : confidentialité, intégrité, disponibilité), les grands principes (defense in depth, moindre privilège, fail secure, secure by default), et surtout comment modéliser une menace avec STRIDE au lieu de sécuriser au hasard. On finit par OWASP — la boussole de la sécurité web — et par l’état d’esprit qui change tout : penser en attaquant pour coder en défenseur.

Le problème qu’on résout

La plupart des devs apprennent la sécurité par accident : un pentest qui remonte 30 failles la veille d’une mise en prod, un incident qui fait la une, une revue de code qui bloque. À ce stade, c’est cher, stressant et incomplet. La sécurité n’est pas une couche qu’on ajoute à la fin — c’est une façon de concevoir qui doit être là dès le premier commit.

Cette partie ne contient pas encore de code vulnérable à corriger. Elle installe quelque chose de plus important : la carte mentale qui rend tout le reste du cours cohérent. Sans elle, tu apprends des recettes ; avec elle, tu comprends pourquoi chaque recette existe et quand l’appliquer.

Ce que tu sauras faire à la fin de cette partie

  • Expliquer pourquoi la sécurité est une responsabilité de dev, et pourquoi « mon projet est trop petit » est un raisonnement dangereux.
  • Décomposer un risque avec le triangle CIA (confidentialité / intégrité / disponibilité).
  • Identifier la surface d’attaque d’une appli et raisonner en couches (defense in depth).
  • Appliquer les principes moindre privilège, fail secure, secure by default.
  • Construire un modèle de menace simple avec STRIDE : actifs, frontières de confiance, menaces, parades.
  • Savoir ce qu’est OWASP (Top 10, ASVS, cheat sheets) et t’en servir comme référence.

Les chapitres

#ChapitreEn un mot
1.1Pourquoi la sécu est ton problèmeLe coût d’une faille, les attaques automatisées, le shift-left.
1.2CIA, surface d’attaque, defense-in-depthLes 3 propriétés, la surface, les couches, les grands principes.
1.3Modéliser la menace (STRIDE)Actifs, frontières de confiance, la méthode STRIDE.
1.4OWASP & l’état d’espritTop 10, ASVS, cheat sheets, penser en attaquant.

Cette partie te donne la boussole. La Partie 2 — HTTP, navigateur & confiance enchaîne sur le terrain de jeu concret : comment une requête voyage, ce qu’est une origine, comment fonctionnent les cookies et les en-têtes de sécurité — les fondations techniques sur lesquelles reposent toutes les attaques web.


On commence : Pourquoi la sécu est ton problème — le déclic qui fait passer la sécurité de « corvée » à « réflexe ».

Last updated on