Security by design : coder proprement dès le départ

La sécurité des applications doit être pensée dès la conception. Ce qui semble évident pour l’industrie automobile, l’est beaucoup moins en matière de développements informatiques. Pourquoi ?

La 9ème édition du Cybersecurity breakfast, hébergé par Telindus, a tenté d’y répondre et d’apporter des solutions. Petit résumé des échanges.

Les failles de sécurité ont toujours existé et existeront toujours. Aucune solution ne permet de garantir le « zéro défauts » sur une application. Le combat est-il perdu d’avance ?

Selon Gauthier Befahy (SCADEMY Secure Coding Academy Ltd), une protection totale est difficile à atteindre et très couteuse. Cependant, 90% des incidents proviennent de failles connues et simples à éviter.

Malheureusement, on constate pour différentes raisons que les développements informatiques adoptent trop rarement des méthodes de test et de correction en amont. La pression trop faible des utilisateurs fait partie de ces raisons. En effet, ces derniers ont tendance à sous-estimer les risques que peuvent représenter des failles de sécurité sur leurs applications. Le fait de ne pas stocker de données sensibles peut nous procurer une certaine insouciance. A tort, car la menace peut être indirecte et imperceptible mais bien présente et diffuse. Les cybercriminels qui accèdent à nos ordinateurs ne le font pas pour nous attaquer directement, mais pour construire des « botnets » afin de mener des attaques démultipliées par exemple. La cybersécurité est devenu un problème « sociétal ». En se protégeant individuellement, on protège la communauté.

Le manque de visibilité sur les impacts d’un développement non sécurisé peut expliquer en partie la situation. Ou plutôt pouvait expliquer, car des études récentes permettent de chiffrer le coût des failles selon la phase de développement dans laquelle elles sont corrigées. Et le verdict est sans appel : coder proprement dès le départ permet d’épargner beaucoup d’argent.

La table ronde animée par Cédric Mauny (Risk & Departement Manager chez Telindus) a rassemblé Anna Curridori, Information Security Manager (Lombard International Assurance S.A.), Tom Leclerc, Senior Security Consultant (Telindus) et Gauthier Befahy. Quelques conclusions intéressantes ont été tirées : l’outsourcing peut être intéressant pour implémenter la sécurité par défaut, car il est souvent plus facile de faire passer des exigences à un prestataire externe qu’à des équipes en interne. Par ailleurs, la formation des développeurs peut donner d’excellents résultats : des retours d’expériences ont montré des réactions très positives de ces derniers, lorsqu’ils se rendent comptent qu’ils ont commis des erreurs. Bien que la prise de conscience des défauts dans les développements de sécurité soit de nos jours déjà bien ancrée chez les « Information Security Officers », le vrai déclencheur qui permet de convaincre les décideurs se fait bien souvent au travers d’un gros projet à grande visibilité.

Figures Voir la présentation de Gauthier Befahy en cliquant ici.

 

Share with care: