interview-developpeur-fullstack-inforca

De l'école 42 à développeur fullstack : une interview à découvrir

User avatar
Par Alisée .
Responsable Développement Digital et Évènementiel
Entrez dans l’univers de Matthieu, notre développeur Fullstack, passionné par la cybersécurité et formé à l’École 42. Vous apprendrez notamment comment il jongle entre fonctionnalités et sûreté, et surtout, les principales menaces qu’il identifie dans le paysage actuel de la cybersécurité.
Publié le 15 juil. 2024
interview-developpeur-fullstack-inforca

Bonjour Matthieu, ravie de te rencontrer et d’échanger sur ton parcours ! Pour commencer, peux-tu décrire ton rôle actuel en tant que développeur fullstack, ayant un attrait particulier pour la cybersécurité ?

Bonjour, et merci de me recevoir. Pour être concis tout en étant complet, je suis responsable de la conception, du développement et de la maintenance d’applications web et mobiles. Mon travail implique de coder à la fois côté serveur (PHP, Python) et côté client (HTML, CSS, TWIG, Tailwind, JavaScript). Peut-être avez-vous déjà entendu ces mots ? Si ce n’est pas le cas, ils vous semblent peut-être quelque peu obscurs : ce sont des langages de programmation utilisés pour développer des logiciels, des applications web et d’autres systèmes informatiques.

Tu l’as dis, j’ai un intérêt marqué pour la cybersécurité, ce qui signifie que j'intègre des pratiques de sécurité dès le début du cycle de développement. Mes principales responsabilités incluent :
- L'analyse des exigences fonctionnelles et techniques des projets
- La conception et l'implémentation des architectures logicielles
- La réalisation de tests de sécurité et de performances
- La surveillance continue et la gestion des vulnérabilités

En utilisant ces moyens de manière correcte, on assure la sécurité des applications développées. De plus, j’utilise un framework (imagine toi une boîte à outils préfabriquée pour les développeurs de logiciels. Elle contient donc des outils prêts à l’emploi et des règles à suivre qui aident à construire des applications de manière efficace et organisée, sans avoir à tout créer depuis le début à chaque fois). Cela rend le processus de développement plus rapide, plus structuré et plus sécurisé).

C’est très technique ! Mais malgré que je sois novice en la matière, j’ai à présent une bonne compréhension de ton métier. Peux-tu me dire comment tu arrives à équilibrer les exigences fonctionnelles d’une application et ses impératifs de sécurité ?

C’est un point important. Pour cela :
- Je commence par une analyse approfondie des besoins afin de comprendre les exigences fonctionnelles de l’application.
- Par la suite, j’utilise des frameworks et des bibliothèques (ou librairie, ensemble de fonctions et de classes réutilisables qui simplifient et accélèrent le développement de logiciels), reconnus pour leur sécurité.
- J'effectue des revues de code régulières et des tests de pénétration pour identifier et corriger les vulnérabilités.
- Je mets en place des contrôles d'accès et une gestion des permissions.
- Pour finir, j’assure la sensibilisation de toute l’équipe et des clients au travers de formations continues sur les bonnes pratiques de sécurité.

« Les principales menaces viennent souvent de l'humain. Même si le système informatique est conçu correctement, sans faille connue, le risque 0 n'existe pas. »

Peux-tu décrire un projet où tu as dû prendre en compte des considérations de sécurité dès la conception ? Quelles technologies et pratiques as-tu utilisées pour assurer la sécurité de l’application ?

Un des projets notables où j'ai dû prendre en compte la sécurité dès la conception est le développement de la plateforme ENGECO. Voici les étapes et technologies que j’ai utilisé :
- Analyse de risques : identification des menaces potentielles dès le départ.
- Architecture sécurisée : séparation des rôles et minimisation des surfaces d'attaque.
- Utilisation de HTTPS (version sécurisée du protocole HTTP utilisé pour sécuriser les échanges de données sur Internet) pour toutes les communications.
- Validation et sanitation des entrées : pour prévenir les injections SQL et XSS.
- Chiffrement des données sensibles : utilisation de bibliothèques cryptographiques pour le chiffrement des données en transit et au repos.

Plus de détails sur ce projet :

Refonte du site Engeco

Refonte du site Engeco

Immobilier

Inforca a apporté son expertise technique dans le développement du site web d'Engeco S.A.M. en créant une interface moderne et fonctionnelle, mettant en avant les projets phares et l'expertise d'Engeco dans la construction monégasque.

Chez ENGECO, la sécurité a été une priorité, en particulier pour prévenir les injections SQL. Mais j’ai bien conscience que tous ces termes te semblent peut-être un peu lointains !
Effectivement… C’est d’ailleurs pourquoi j’ai envie de rebondir sur l’école 42 ! Belle référence ! Peux-tu m’expliquer en quoi a consisté ta formation là-ba et comment cette expérience t'a-t-elle préparé pour une carrière en développement fullstack et cybersécurité ?

« L’école 42 propose une formation intensive et pratique qui m'a beaucoup appris. Elle m’a appris à apprendre. »

Voici quelques aspects clés :


- Apprentissage par projet : chaque projet exigeait une solution complète à la problématique donnée, souvent avec des exigences de sécurité intégrées.

- Collaboration et Peer-learning : travailler avec d'autres étudiants sur des projets complexes a renforcé ma capacité à collaborer et à échanger des bonnes pratiques de sécurité, entre autres.

- Accès à des ressources variées : j'ai pu explorer diverses technologies et frameworks utilisés dans l'industrie.

- Culture de l’autonomie : cela m’a préparé à être proactif et à continuer à apprendre de manière indépendante, y compris dans le domaine de la cybersécurité.

- Mise en pratique : Des hackathons (événement où on collaborait intensément sur des projets pendant quelques jours, afin de créer des prototypes innovants) et des exercices de programmation qui incluaient des défis de sécurité.

« La spécialisation de la branche que j’avais choisi, comprenait des projets tels que refaire Instagram, Tinder et Netflix »

L'école 42 (copyright)

Impressionnant ! Et selon toi, qu’est-ce qui a été le plus bénéfique pour ton développement professionnel ?

Je dirai :


- L’apprentissage autonome : ma capacité à résoudre des problèmes de manière indépendante, (compétence clé en cybersécurité) s’est accrue.


- La collaboration et réseau : travailler avec des pairs et accéder à un vaste réseau de professionnels a été plus que bénéfique.


- L’immersion grâce à des projets réels : les projets basés sur des situations réelles m'ont préparé aux défis concrets du développement et de la sécurité.

- Une mise à jour continue : une culture de l'apprentissage en continu, essentielle dans un domaine aussi dynamique que la cybersécurité.

Du coup, serais-tu en mesure de me citer les principales menaces en matière de cybersécurité aujourd’hui ?

Les principales menaces en matière de cybersécurité aujourd'hui incluent :


- Les fuites de données massives (leak) des grands groupes possédant des informations personnelles des utilisateurs.

- Le ransomware : les attaques de logiciels rançonneurs. D’ailleurs, ils continuent de croître en fréquence et en sophistication.

- Le phishing : technique d’attaque où des cybercriminels envoient des courriels frauduleux afin d’amener la victime sur des sites web falsifiés pour l’inciter à divulguer des informations personnelles telles que des identifiants de connexion, des mots de passe ou des détails financiers.

- Les menaces internes : les employés peuvent, intentionnellement ou non, causer des fuites de données ou des brèches de sécurité.

- Des attaques de type Zero-day : c’est typiquement l’attaque contre laquelle l’utilisateur ne peut pas se prémunir. L’exploitation de vulnérabilités non encore connues des développeurs.

- L’Internet des Objets (IoT) : les appareils IoT souvent mal sécurisés constituent de nouvelles cibles. Faites attention à votre caméra d’ordinateur, par exemple.

- Des attaques sur la chaîne d'approvisionnement : compromission des fournisseurs pour atteindre les entreprises cibles.

- La corruption de librairies : lorsqu’une bibliothèque logicielle utilisée est compromise par du code malveillant.

- Le fameux « Man in the middle » : attaque réalisée en interceptant et en manipulant les communications sur des réseaux publics.

« Le social engineering : vous savez, ce fameux coup de téléphone où on nous fait croire que c’est notre banquier qui nous appelle car notre compte en banque s’est fait pirater. Puis, la personne en profite pour nous soutirer nos informations bancaires. Et bien voilà, jackpot. »

Le risque en cybersécurité, c’est la synergie entre différents types d’attaques.

On ne se rend pas compte au quotidien, c’est clair… Pour finir, que t'apporte Inforca dans tes missions ? Au quotidien ?

Inforca offre un cadre de travail flexible, favorisant la cohésion d'équipe avec des personnes aux profils variés et ouvertes à la discussion. De plus, grâce à la diversité de ses clients — institutionnels et professionnels de différents secteurs d'activité — les missions confiées sont toujours diverses et stimulantes. La recherche des solutions les plus adaptées aux besoins des clients et leur mise en pratique créent une véritable stimulation intellectuelle au quotidien.

Propos recueillis par Alisée, Responsable Développement Digital et Évènementiel chez Inforca, auprès de Matthieu, développeur fullstack/cybersécurité chez Inforca.

Votre projet de développement web avec Inforca

Vous avez un projet de développement web ? Nous sommes en mesure de vous accompagner dans le développement de votre site ou de votre application.