Les systèmes de cybersécurité traditionnels, développés pour la plupart il y a plus de 10 ans, n'ont pas été conçus pour faire face à la nouvelle génération de pirates et aux vulnérabilités actuelles. À cela s'ajoute leur dépendance à la configuration humaine, talon d'Achille de nombreux logiciels.  

Le concept de « sécurité par défaut », complément indispensable des principes du Secure by Design définis par la CISA (U.S. Cybersecurity & Infrastructure Security Agency) a été inventé pour répondre à ce défi. 

Le Secure by Design repose sur des principes qui intègrent la sécurité tout au long de la conception et du développement des logiciels. La sécurité par défaut garantit qu'un produit Zero Day est intrinsèquement sécurisé dès son installation. Aucune configuration complexe n'est nécessaire, parce que les principales fonctions de sécurité (comme la connexion sécurisée et l'autorisation) sont préconfigurées. 

Les menaces évoluent... et s'accélèrent 

Jusqu'à récemment, la plupart des systèmes avaient une « zone d'impact » limitée. Protégés par des pare-feux, ils étaient confinés, si bien que seule une poignée de personnes dans l'entreprise pouvait y accéder. Ils ne constituaient pas encore un terrain de jeu ouvert pour des pirates à la recherche de la moindre défaillance. Il n'était pas possible d'automatiser des assauts et le processus d'attaque dans son ensemble (trouver une vulnérabilité, en faire une arme en concevant une exploitation et déployer l'attaque proprement dite) prenait des semaines, souvent même des mois.  

Cela limitait non seulement la vitesse des attaques, mais aussi leur échelle. Les pirates devaient cibler les entreprises une par une, en trouvant le moyen de contourner des contrôles spécifiques. Le rythme global des attaques était faible et, quand elles se produisaient, l'impact était relativement restreint en raison du temps et des efforts que cela impliquait pour les pirates. 

Infos connexes : Les 8 meilleures pratiques pour réduire la surface d'attaque d'une entreprise

Parler d'« évolution du paysage des cybermenaces » est presque un euphémisme, car l'évolution naturelle ou même technique n'a jamais été aussi rapide. En quelques années seulement, c'est devenu une arène de combat numérique mettant en danger les entreprises mal protégées.  

En effet, les pirates ont su tirer profit de trois développements clés : 

  • Les pirates modernes peuvent rapidement transformer des vulnérabilités en arme, d'autant que les outils d'intelligence artificielle leur simplifient la tâche. Il fut un temps où les délais de divulgation étaient longs, mais cette époque est révolue. Les outils d'analyse automatisés et les kits d'exploitation disponibles sur le Dark Web permettent aux pirates, même les moins férus de technologie, de s'adonner à la cybermalveillance. Les attaques Zero Day deviennent de plus en plus inquiétantes, car les pirates sont plus agiles et exploitent les vulnérabilités avant la publication des correctifs. 
  • L'adoption du Cloud a élargi la surface d'attaque, car le Cloud distribué complique la sécurisation et la surveillance des données. Le modèle de partage des responsabilités de sécurité entre les fournisseurs de Cloud et les utilisateurs peut provoquer des vulnérabilités en cas de mauvaise configuration ou de mauvaise compréhension. De plus, les fonctionnalités de communication des applications Cloud reposent souvent sur des API, ce qui peut créer des vulnérabilités si la sécurisation est insuffisante. 
  • Les mesures de sécurité traditionnelles, comme les pare-feux et l'antivirus, ne sont pas capables de suivre l'évolution des menaces. Il est possible de contourner les pare-feux grâce à l'ingénierie sociale, alors même que l'antivirus se démène pour détecter les toutes nouvelles menaces Zero Day. À l'ère du Cloud, l'approche de sécurité basée sur un périmètre est dépassée. Il est évident que les principes du Secure by Design doivent être implémentés dans toute l'infrastructure IT. 

Les acteurs malveillants traquent vos points faibles et sont prêts à lancer des attaques dès l'instant où vous activez un produit. C'est pourquoi chaque produit doit comporter des défenses Zero Day robustes dès le moment où il est activé et connecté au réseau d'une entreprise. 

Infos connexes : Les principes « Secure by Design » sont plus importants que jamais

Les 3 piliers de la sécurité par défaut 

La sécurité par défaut repose sur trois piliers fondamentaux. 

Déployer une sécurité « Shift Left » 

Le « Shift Left » vise à repérer les vulnérabilités très tôt dans le processus de développement. Les développeurs doivent écrire du code sécurisé, en évitant les pièges courants identifiés notamment par le Top 10 des OWASP (Vulnérabilités de sécurité des applications Web) et le Top 25 des CWE (Faiblesses logicielles courantes).  

On peut effectuer un parallèle avec la médecine préventive, où les pratiques de bien-être et les vaccins protègent une personne des maladies. En se concentrant dès le départ sur les pratiques de codage sécurisé, les développeurs injectent immunité et résilience directement dans le logiciel. 

Imposer les configurations sécurisées 

Quand un être humain configure son nouveau logiciel, les pirates sont à la fête. Pour éliminer les erreurs dues à une mauvaise configuration, les éditeurs de logiciels doivent imposer des configurations sécurisées par défaut. Cela inclut l'authentification multifacteur (MFA) et la connexion avec authentification unique (SSO). Il faut aussi éviter les informations d'authentification (mots de passe et jetons) codées en dur, ainsi que les configurations par défaut où figurent des vulnérabilités que les pirates connaissent déjà. 

L'obligation d'utiliser des configurations sécurisées garantit une sécurité cohérente dans tous les déploiements, quelles que soient l'expérience et l'expertise technique de l'utilisateur. Cela simplifie aussi l'expérience des utilisateurs, car ils n'ont pas besoin de prendre des décisions concernant la configuration.  

Sécuriser la chaîne d'approvisionnement logicielle 

Le développement logiciel moderne s'effectue de façon comparable à une chaîne de montage dans l'industrie automobile ou aérospatiale. Il dépend énormément des bibliothèques tierces et du code open source. Avec la sécurité par défaut, les développeurs doivent faire très attention à la sécurité de ces composants afin de ne pas introduire de vulnérabilités. 

Infos connexes : L'engagement « Secure by Design » : pour un futur numérique plus sûr

Mesurer la sécurité par défaut 

Aujourd'hui, les outils d'instrumentation et de télémétrie permettent aux éditeurs de surveiller les performances des fonctions de sécurité par défaut. Si le produit s'exécute "on-premise", l'activation de la télémétrie nécessite d'envoyer des données en dehors du réseau (ce qui revient à "percer des trous dans le pare-feu"). Si le produit s'exécute dans le Cloud, la télémétrie peut facilement renvoyer des données au fournisseur.  

Dans les deux cas, c'est une question de consentement mutuel : l'utilisateur du logiciel doit activer la télémétrie par défaut pour que l'éditeur puisse surveiller le comportement du logiciel et vérifier si ses contrôles de sécurité intégrés sont bien implémentés. Cela signifie également que l'utilisateur n'a pas besoin d'intervenir pour activer les fonctions de sécurité. L'éditeur peut le faire à distance si le client y consent. 

Garder un temps d'avance sur les menaces changeantes

Même les professionnels de cybersécurité les mieux intentionnés et les plus investis sont dépendants des données et analyses dont ils disposent. Par exemple, les listes traditionnelles de vulnérabilités comme le Top 10 OWASP et le Top 25 CWE sont indispensables pour la sensibilisation à la sécurité, mais elles ont leurs limites : 

  • Les mises à jour de ces listes laissent toujours une période de vulnérabilité, entre la découverte et l'atténuation des menaces. Les pirates exploitent cette faiblesse en ciblant les vulnérabilités « aberrantes », pas encore répertoriées. 
  • Les listes traditionnelles se concentrent sur les vulnérabilités connues, ce qui laisse les entreprises vulnérables aux « inconnues connues », c'est-à-dire aux faiblesses potentiellement exploitables mais qui n'ont pas encore été identifiées. 

Ceci dit, l'IA et le Machine Learning promettent de révolutionner la sécurité par défaut en comblant ces failles :  

  • Les algorithmes de Machine Learning peuvent analyser d'énormes volumes de données de sécurité pour identifier des schémas et prédire les vulnérabilités potentielles, y compris celles qui ne figurent pas encore sur les listes traditionnelles.  
  • En analysant les tendances d'exploitation et le comportement des logiciels, le Machine Learning identifie les vulnérabilités « inconnues connues » qui sont le plus susceptibles d'être exploitées, même si elles ne sont pas encore documentées.  

Ajout de l'IA au cycle SDLC 

L'IA et le Machine Learning peuvent aussi révolutionner la façon dont les principes de sécurité par défaut sont incorporés aux cycles de développement des logiciels : 

  • Détection automatisée des vulnérabilités : les outils d'IA peuvent analyser le code en continu à la recherche de vulnérabilités (connues ou inconnues) afin qu'elles puissent être traitées très tôt dans le cycle SDLC. 
  • Modélisation de sécurité proactive : en analysant les schémas d'attaque, l'IA peut prédire les menaces. Cela permet une modélisation proactive de la sécurité en vue de créer des logiciels avec des défenses intégrées contre ces menaces. 
  • Assistance intelligente aux développeurs : après avoir analysé le code, l'IA peut recommander des pratiques de codage en temps réel aux équipes de développement.  

Sécurité par défaut via les logiciels à autoréparation   

Les développeurs qui se soucient de la sécurité par défaut ont souvent pour objectif de créer des logiciels capables d'identifier proactivement les vulnérabilités par eux-mêmes, et de les corriger. Ce concept s'inspire des algorithmes génétiques utilisés dans la fabrication (les systèmes s'auto-optimisent et s'améliorent eux-mêmes au fil du temps). 

Cela transforme la « sécurité par défaut », qui n'est plus un concept statique mais bien une capacité d'autoréparation dynamique autorégulée, intégrée au logiciel d'entreprise. Ce logiciel est ainsi capable de remédier à ses propres vulnérabilités, de bloquer les menaces et même de signaler les nouvelles attaques à ses développeurs. 

Infos connexes : Démo pratique : protéger tous les postes clients avec des contremesures UEM sécurisées

Une avancée majeure

J'ai récemment rédigé un article mentionnant la nécessité d'un « partenariat entre privé et public, où entreprises et gouvernements s'allient pour résoudre le problème de la sécurité numérique ». L'élaboration des principes du Secure by Design, ainsi que les efforts de la CISA et des dirigeants du secteur pour les promouvoir constituent une avancée majeure vers cette collaboration. Il est urgent que nous puissions nous protéger des cybermenaces. 

Cependant, il incombe toujours aux éditeurs de logiciels et développeurs d'appliquer ces mesures de sécurité. Les pratiques de sécurité par défaut leur permettent de développer et distribuer des logiciels plus sécurisés, un atout non négligeable dans la lutte contre les cybermenaces.