Recommandations aux développeurs pour la sécurité des données

Si vous utilisez la plateforme en tant que développeur, vous êtes responsable de sécuriser les données de la plateforme, de manière à respecter ou dépasser les normes du secteur en la matière compte tenu de la sensibilité des données. Vous trouverez ci-dessous quelques recommandations et principes clés à prendre en compte dans le choix des mesures de sécurité protégeant les données de la plateforme. Considérez ces recommandations comme des conseils qui ne garantissent pas que vous avez respecté vos obligations dans le cadre des Conditions générales de la plateforme Meta, car elles ne peuvent pas couvrir tous les scénarios envisageables. Le fait de respecter ou dépasser les normes du secteur dépend de la sensibilité des données de la plateforme que vous consultez et/ou traitez, et des conditions techniques dans lesquelles vous travaillez.

Principe	Recommandations
Communication sécurisée (données en transit)	Utiliser des autorités de certification (CA) de confiance S’assurer que les certificats sont configurés correctement Utiliser les versions les plus récentes possibles du protocole TLS (Transport Layer Security) Mettre en place le chiffrement de toutes les connexions réseau Effectuer des tests pour vérifier que les connexions réseau n’envoient pas de données en clair accidentellement Vérifier que les métadonnées des en-têtes HTTP ne contiennent aucune information personnelle
Données au repos sécurisées	Utiliser le chiffrement standard, et ne pas se fier à son propre chiffrement ni à l’encodage ou au masquage des données Activer les contrôles au niveau de la plateforme, si disponibles Vérifier que les données sont chiffrées Protéger tous les systèmes contre les logiciels malveillants
Gestion des clés et des mots de passe	Ne pas conserver de mots de passe en clair ni en intégrer dans le code Ne pas utiliser les mots de passe système par défaut proposés par des fournisseurs Utiliser des systèmes de gestion des clés, si disponibles Disposer d’un système permettant de gérer les clés (affectation, révocation, rotation, suppression) Utiliser l’authentification à deux facteurs, si disponible Proposer l’authentification à deux facteurs en option aux utilisateur·ices
Contrôles des accès et gestion des comptes	Séparer les rôles et les fonctions avec des comptes et des identifiants différents Disposer d’un système de gestion des comptes (affectation, révocation, examen des accès et des privilèges, suppression)
Installation des mises à jour et correctifs	Disposer d’un système permettant de tenir à jour le code et les environnements du système, y compris les serveurs, machines virtuelles, distributions, bibliothèques, packages et logiciels/programmes antivirus Disposer d’un système permettant d’assurer la maintenance et les correctifs des systèmes de production, comme les : Bibliothèques principales Services Web Services orientés vers l’extérieur
Surveillance et journaux	Disposer d’un système permettant de consigner les accès aux données utilisateur·ice et de savoir où elles sont envoyées et stockées Surveiller les transferts de données utilisateur·ice et les principaux points de sortie de ces données dans le système (par ex., points de terminaison tiers publics)
Sécurisation des applications et des API	Connaître les pratiques élémentaires de sécurité des applications, comme : Évaluer les autorisations et les données nécessaires (aligner l’accès aux données sur leur utilisation) Vérifier que les API et les points de terminaison n’occasionnent aucune fuite de données Vérifier que les transferts vers et depuis des tiers n’occasionnent aucune fuite de données Analyser l’application et le code avant leur déploiement pour identifier les défauts de sécurité courants Connaître les pratiques élémentaires de codage permettant de régler les questions de sécurité fondamentales Tester régulièrement la sécurité des systèmes et des processus