Dans la culture startup, on entend souvent la fameuse devise : "Move fast and break things" (Allez vite et cassez des choses). L'idée est de sortir un produit le plus vite possible et de corriger les bugs plus tard. Dans des secteurs à haute régulation, appliquer cette devise s'apparente à un suicide industriel.

Quand on lance un logiciel B2B, on se concentre naturellement sur les fonctionnalités. On repousse à plus tard ce qu'on considère comme des "détails ennuyeux" : l'accessibilité, la robustesse de l'authentification, la bonne gestion des données personnelles (RGPD), la gestion fine des erreurs serveurs. On se dit souvent : "On fera une passe sur l'accessibilité ou sur les règles Opquast quand on aura nos premiers clients".

C'est une grave méconnaissance de la façon dont le logiciel fonctionne. Les règles de qualité et de sécurité s'imbriquent profondément dans la base de données et dans l'interface. Essayer d'ajouter des normes de qualité web ou d'injecter les 93 contrôles de la norme ISO 27001 sur une application déjà terminée, c'est comme essayer de changer les fondations d'une maison dont les murs sont déjà peints. Cela génère ce qu'on appelle de la "dette technique". Et dans le logiciel, la dette se paie toujours avec des intérêts colossaux.

Chaque raccourci pris au début du projet (pour aller plus vite) se transforme en faille potentielle. Le coût de remédiation d'une faille de sécurité découverte en production est estimé à 100 fois le coût de sa prévention lors de la phase de conception. L'ingénierie logicielle moderne dans les milieux critiques ne consiste plus à coder plus vite. Elle consiste à coder sous contrainte dès le premier jour. Les audits de qualité, les pentests offensifs et la validation défensive ne doivent plus être l'étape finale d'un projet. Ils doivent être intégrés au cycle quotidien de développement. C'est la seule façon de garantir qu'une innovation métier puisse réellement survivre au monde réel.

← Retour aux Insights