Réédité avec la permission de CIO.com

Ce n'est un secret pour personne : les cybermenaces se multiplient. Le coût de la cybercriminalité aux États-Unis a augmenté de 22 % l'an dernier pour dépasser les 12,5 milliards de dollars, d'après la plateforme de plainte pour cybermalveillance du FBI (Internet Crime Complaint Center). L'un des problèmes concerne les vulnérabilités logicielles persistantes dues aux approches traditionnelles de codage et de sécurité. Pour combattre ces risques, un effort concerté vise à créer des logiciels sécurisés dès leur conception. Par exemple, l'agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a défini une série de mesures permettant aux fournisseurs de prouver qu'ils adoptent les principes du Secure by Design.

Cependant, en l'absence de normes et de métriques contraignantes, il est difficile pour les responsables IT et Sécurité de savoir si et comment les fournisseurs mettent en pratique cette approche Secure by Design. Voici certaines des mesures que vous pouvez prendre.

Incorporer les pratiques Secure by Design dans l'évaluation des risques

L'évaluation des risques fournisseur est un processus standard : l'entreprise identifie et jauge les dangers associés aux produits et aux opérations d'un fournisseur. Selon Michael Riemer, Field Chief Information Security Officer chez Ivanti, les responsables IT et Sécurité peuvent s'en servir pour privilégier les principes et les pratiques Secure by Design.

« Pour nous, en tant qu'éditeur de logiciels, cela signifie assumer la pleine responsabilité de nos propres produits, explique M. Riemer. Il s'agit d'appréhender l'ensemble de l'architecture de la solution et de tenir compte de la sécurité dans toutes ses facettes, notamment la conception de l'architecture, le stockage, la connectivité, l'usage, etc. »

Dans le cadre de l'évaluation des risques, les entreprises doivent aussi envisager de demander un rapport SOC 2 Type 2. Une telle évaluation apporte des garanties supplémentaires sur les mesures prises par un fournisseur pour protéger les données et les informations des clients. Elle comprend un audit de cybersécurité tiers qui évalue dans le temps le fonctionnement des contrôles et pratiques de sécurité internes de l'éditeur.

Chaque fournisseur doit notamment pouvoir répondre aux questions suivantes :

  • À quelle fréquence effectuez-vous des tests d'intrusion ?
  • Quels types de tests d'intrusion menez-vous ?
  • L'analyse du code est-elle à la fois statique et dynamique ?

Évaluer les pratiques de codage

Traditionnellement, le codage est séquentiel : une équipe travaille sur un module, qu'elle transmet à la suivante, etc. Mais c'est ainsi qu'on conserve les faiblesses de conception dans le code source, d'après M. Riemer d'Ivanti. En restructurant vos effectifs en équipes POD (Product-Oriented Delivery), chacune avec son propre architecte de sécurité, il est possible d'éliminer en amont les faiblesses. Chez Ivanti, cela a marqué un tournant, selon M. Riemer. Les fournisseurs doivent pouvoir démontrer ces changements organisationnels et ces nouvelles pratiques.

Évaluer la transparence du Secure by Design

Les fournisseurs doivent pouvoir divulguer au grand jour leurs objectifs de Secure by Design et montrer qu'ils publient ou publieront régulièrement leurs métriques. Leurs clients, quant à eux, doivent être en mesure de suivre leurs progrès dans les modules logiciels.

« Nous avons établi des objectifs précis, défini des valeurs de référence et des métriques, et nous publierons chaque trimestre l'évolution de ces indicateurs à partir d'octobre 2024, poursuit M. Riemer. Nous devons rendre compte de nos progrès dans notre démarche Secure by Design. Ces métriques montreront les modules logiciels analysés, ainsi que la profondeur des analyses menées pour identifier et rectifier des pratiques de codage pas assez rigoureuses. »

Conclusion

Avec les principes du Secure by Design, les dirigeants d'entreprise et les responsables IT sont à même d'évaluer les progrès de leurs fournisseurs de logiciels dans la production d'un code plus sécurisé dès la conception. Le Secure by Design leur permet de limiter les risques pour leur entreprise.