Le concept Secure by Design, qui consiste à élaborer des logiciels intégrant la sécurité dès la phase de conception, modifie en profondeur la façon dont les logiciels sont développés.

Les logiciels étaient auparavant conçus avec ce que l'on appelle une « bolt-on security », une démarche qui consiste à ajouter la couche de sécurité une fois le développement terminé. En conséquence, la sécurité n'est pas inhérente au logiciel. D'autre part, l'interaction entre le logiciel et la couche de sécurité est susceptible de créer un point d'inflexion pour une attaque. 

C'est pourquoi l'adhésion des éditeurs de logiciels au mouvement Secure by Design est si important, et c'est aussi pourquoi Ivanti a été le premier signataire de l'engagement Secure by Design de la CISA (U.S. Cybersecurity & Infrastructure Security Agency).

Les éditeurs qui signent cet engagement promettent de respecter les principes définis par la CISA. Il est essentiel d'intégrer les mesures de sécurité au cœur même de la solution, de sa conception initiale à son déploiement final. Ainsi, la solution est conçue de façon à pouvoir résister aux attaques dès son installation sans qu'il soit nécessaire d'appliquer des correctifs de vulnérabilité après son adoption par le client, une fois les dommages subis. 

Infos connexes : L'engagement « Secure by Design » : pour un futur numérique plus sûr 

Un principe fondamental de conception sécurisée 

Au fur et à mesure que les technologies numériques progressent, les cyberattaques évoluent de manière inventive pour en exploiter les failles. Aujourd'hui, elles menacent de se métastaser dans tous les réseaux hybrides, elles font chanter des entreprises ou les perturbent, elles ébranlent la confiance des clients et impactent durement le chiffre d'affaires des entreprises. Mais, de l'avis de la CISA, c'est aussi une menace particulièrement tangible pour la sécurité nationale. 

En mettant l'accent sur le principe fondamental de conception sécurisée (selon lequel la sécurité doit être intégrée aux logiciels dès les toutes premières phases de planification), le Secure by Design va permettre une meilleure défense contre les pirates modernes, que leurs motivations soient financières, politiques ou les deux.  
 
Ivanti, en tant que signataire de l'engagement Secure by Design, souhaite prendre toutes les mesures nécessaires pour se conformer à ses principes. Les éditeurs doivent se poser les questions suivantes : Utilisons-nous un langage de programmation respectueux des pratiques Secure Software Development Framework (SSDF) pour éviter les failles de sécurité liées à la gestion de la mémoire ? Exécutons-nous régulièrement une modélisation des menaces pour identifier les vulnérabilités éventuelles ? Utilisons-nous des bibliothèques ou des composants tiers ? Quel est leur niveau de sécurité ?  

Pour répondre à ces questions, il faut se concentrer sur la sécurité tout au long du cycle SDLC (Software Development Lifecycle), ce qui signifie : 

  • Intégrer les principes du Secure by Design tout au long du processus au lieu d'attendre que le code soit écrit, afin que la sécurité reste au coeur des préoccupations lors de la planification et de la conception. Cela implique de réfléchir aux menaces potentielles et d'intégrer les défenses pour les contrer. 
  • Repérer les vulnérabilités très tôt, en incorporant des tests de sécurité très complets tout au long du développement. Cette anticipation permet d'éviter les surcoûts et la complexité qui surviennent lorsque des corrections doivent être apportées plus tard dans le cycle SDLC ou une fois le logiciel publié. 

Il faut pour cela aller au-delà d'une approche « shift left ». Pour appliquer les principes du Secure by Design, les développeurs exécutent désormais des tests statiques et des tests dynamiques de sécurité des applications au sein du code, et mènent des tests unitaires et d'intégration tout au long du processus SDLC, au lieu d'attendre la phase finale pour effectuer les tests ou la modélisation des menaces. L'utilisation des outils de test devient alors une pratique courante pour les développeurs. 

Infos connexes : « 3 Takeaways From a Business Roundtable With U.S. Cybersecurity Leaders »

Au-delà du logiciel sécurisé 

Pour mettre en pratique les principes du Secure by Design, il ne suffit pas d'écrire et de tester du code sécurisé. On parle ici d'une approche globale de la cybersécurité, où l'on construit une défense solide sur une entreprise sécurisée. Cela implique diverses mesures, notamment : 

  • Identifier les points faibles : il est vital de comprendre où se trouvent les vulnérabilités dans l'entreprise, et pas seulement dans le code logiciel. Pour cela, il faut analyser et optimiser plusieurs aspects de la cybersécurité, des programmes de formation des collaborateurs à l'application des correctifs logiciels de sécurité, en passant par le niveau de sécurité global de l'entreprise. 
  • Protection et surveillance : les entreprises doivent mettre en place des outils de cybersécurité solides pour gérer activement (ou même proactivement) les risques. Cela inclut des systèmes de surveillance pour détecter les activités suspectes et des garde-fous comme les pare-feux pour bloquer les cyberattaques. 
  • Réponse aux incidents : il est indispensable d'établir clairement un plan de réponse aux cyberattaques. Il doit détailler comment détecter une attaque, évaluer son impact, définir des étapes permettant une récupération durable, et améliorer les mesures de sécurité. 

Un autre aspect de l'implémentation d'un système de logiciel sécurisé basé sur les principes du Secure by Design concerne le concept Secure by Design. En effet, les gens confondent souvent les deux. Ces concepts sont complémentaires. Le Secure by Design signifie que des mesures de sécurité ont été intégrées au produit tout au long de son cycle de développement, alors que la sécurité par défaut signifie que le produit fini est sûr dès son installation, sans que l'utilisateur ait besoin d'effectuer une configuration approfondie. Il est pré-configuré pour assurer des mesures telles que la connexion sécurisée ou les profils d'autorisation des logiciels. L'accent est mis sur une sécurité tournée vers l'avenir plutôt que sur la rétrocompatibilité.  

Infos connexes : Démo pratique : Protéger tous les postes clients avec des contremesures UEM sécurisées 

Avantages du Secure by Design pour les clients  

Lorsqu'un éditeur de logiciels propose des solutions et plateformes qui respectent les principes du Secure by Design, des avantages significatifs sont constatés par nos clients : 

  • Meilleure protection : les logiciels intégrant des fonctions de sécurité dès leur conception sont plus plus robustes et moins vulnérables... tout comme le réseau où ils sont exécutés. 
  • Meilleure DEX : donner plus d'importance à la sécurité et aux tests pendant le développement permet de créer un produit optimisé, plus stable et moins sujet aux perturbations, ce qui améliore l'expérience numérique des collaborateurs (DEX).  
  • Meilleur ROI : un produit plus sécurisé limite les périodes d'interruption et le temps d'application des correctifs, si bien que les utilisateurs restent productifs. 
  • Conformité rationalisée : avec un logiciel Secure by Design, il est plus facile de respecter des obligations strictes de confidentialité des données et de sécurité, ce qui réduit le temps et les ressources nécessaires pour exécuter des tests de conformité, et vous évite des pénalités. 
  • Meilleure réputation : les entreprises pour lesquelles la sécurité est une priorité essentielle sont considérées comme plus fiables, ce qui peut renforcer la confiance et la fidélité des clients.