Place de la cybersécurité dans le développement des applications

Février 2023

Un point extrêmement important dans le processus de développement d’un produit numérique est l’évitement des vulnérabilités cachées. Les mesures de sécurité traditionnelles, telles que les évaluations de vulnérabilité et les tests de pénétration, sont insuffisantes pour améliorer la sécurité globale de l’entreprise. Il est temps de mettre en pratique un concept très efficace appelé Secure-by-Design. Pour que les produits et services numériques soient sûrs, la sécurité doit faire partie du processus de développement initial d’un produit numérique. Cette approche aide les développeurs et les personnes en charge de la cybersécurité à éviter de créer des vulnérabilités. Il s’agit d’adopter une approche proactive et d’intégrer la sécurité dès le début.

Les entreprises s’exposent souvent à des risques lorsqu’elles essaient des technologies nouvelles ou avancées. Un programme développé en négligeant des étapes, peut actuellement générer de réels problèmes, à la fois pour les développeurs et les utilisateurs finaux. Tout appareil connecté à Internet peut créer un point d’entrée pour des attaques pour accéder au système interne, installer des logiciels malveillants ou collecter des données sensibles. Chaque mois, les cyberattaques augmentent à la fois en quantité et en « qualité ».

Souvent, dans le développement d’un produit, la sécurité n’est pas en compte de façon optimale.  Le client final s’attend à ce que les produits soient sûrs, en particulier lorsqu’il les intègre dans ses propres produits et services, le prestataire ou l’éditeur est pressé de mettre sur le marché un produit, même s’il n’est pas totalement conforme aux normes requises. Avec l’évolution des technologies utilisés par les hackers, utilisant notamment des algorithmes d’intelligence artificielle, de nombreux fabricants d’applications se sont demandé s’ils étaient suffisamment protégés contre les attaques massives prévisibles dans un avenir proche.  Par exemple, ChatGPT peut être utilisé pour générer du contenu nouveau et unique pour chaque victime potentielle, en contournant efficacement les outils de détection et en rendant ainsi la rédaction d’e-mails de phishing plus facile, plus rapide et plus efficace.

Il est donc indispensable de créer un produit sûr dès la conception. Il est essentiel d’utiliser des  méthodes innovantes, telles que la Security-by-Design, qui fournissent aux équipes de développeurs des connaissances en matière d’opérations et de sécurité pour scanner le produit à tout moment, identifier et anticiper les  défauts potentiels.

La cybersécurité doit être prise en compte dès la phase initiale, mais malheureusement, dans de nombreux cas, la cybersécurité n’est abordée qu’une fois le produit terminé. L’approche tardive génère souvent des coûts supplémentaires dans la production, outre le fait qu’elle peut créer un chaos général. Des corrections voire la refonte du produit peuvent être nécessaires. Personne ne nie l’importance de la cybersécurité, mais rares sont les dirigeants qui donnent la priorité à la mise en œuvre des connaissances en cybersécurité au sein de leurs équipes de développeurs. Disposer d’un cadre d’approche sain, d’une méthode rigoureuses et de pratiques vérifiées dans la création d’un produit numérique devrait faire partie de la culture organisationnelle.

L’attitude des clients vis-à-vis de la cybersécurité, pour les applications, est en train de changer, même si certains acheteurs peinent à affecter des dépenses à la  cybersécurité. Une vulnérabilité de cybersécurité peut perturber, voire arrêter, les opérations d’une entreprise et l’image de l’entreprise, patiemment construite au fil des ans, peut être détruite en un instant.

La cyber-responsabilité dans le processus de développement initial est une approche clé. Le lancement de produits, avec une cybersécurité insuffisante, ne doit pas être précipité. Elle doit être traitée avec un extrême sérieux et l’inclusion de la conception de la cybersécurité comme élément majeur de la conception dans la phase initiale, rappelant aux concepteurs la valeur et l’importance des offres sécurisées. Démontrer que l’entreprise offre des produits sûrs est extrêmement important et peut même procurer un nouvel avantage concurrentiel.

Construire sur une base saine l’ensemble du processus de développement de produits est plus efficace, évitant le travail supplémentaire, l’augmentation des coûts et les retards causés par des examens ou des tests de dernière minute.

Selon une étude menée par MIT Sloan Management Review, il a été conclu que bien que les concepteurs de produits n’aient pas besoin d’être des experts en cybersécurité, ils ont besoin de compétences et de connaissances de base en matière de cybersécurité. Les conclusions de cette étude suggèrent que les éléments suivants devraient être inclus dans le processus de conception d’une application :

  1. Connaissances générales sur la place de la cybersécurité dans la conception des applications.
  2. Connaissances sur la place de la cybersécurité concernant l’application.
  3. Protocoles et pratiques de base de cybersécurité.
  4. Protocoles et pratiques de cybersécurité pour les pièces, composants et bibliothèques utilisés.
  5. Connaissance des tests de sécurité (apptesting) que les applications devront réussir.
  6. Définition des processus de sécurité appliqués lors du développement.
  7. Connaissance du niveau de sécurité attendu par le client.
  8. Connaissance du niveau de sécurité attendu par l’entreprise produisant l’application.
  9. Identification d’une ressource d’expertise en cybersécurité.
  10. Organisation d’un process de fonctionnement avec les intervenants (experts, producteur ou client).

L’application doit être construite avec une technologie éprouvée avec une mise à jour permanente. Il est essentiel pour les développeurs d’être à jour avec leurs technologies, les vulnérabilités des bibliothèques utilisées et les corrections à appliquer. Il convient de porter une attention particulière à la sensibilisation des développeurs sur les besoins et les dangers des logiciels qu’ils créent. Des normes de maintenance des applications doivent également être établies et des méthodes mises au point pour mesurer la sécurité d’une application installée. Il est important d’effectuer des contrôles automatiques, voire des inspections manuelles.

La sécurisation des applications ne doit jamais être considérée comme finie. Le développement d’application impose d’innover constamment. Chaque innovation crée une nouvelle exposition aux attaques. Se défendre contre les menaces actuelles, mais surtout futures, est un problème particulièrement difficile. Pour y remédier le plus efficacement possible, nous recommandons une approche structurée avec un cadre rigoureux.

Les Oies du Cyber, éditeur d’une suite de solutions de cybersécurité de nouvelle génération, développe une approche innovante sur le thème du Secure-by-Design.

SOURCES:

  1. K. Huang et S. Madnick, « A Cyberattack Doesn’t Have to Sink Your Stock Price », Harvard Business Review, 14 août 2020
  2. MIT Management Review (Massachusetts Institute of Technology)
  3. Clusit 2022, https://clusit.it/rapporto-clusit/
  4. K. Huang et K. Pearlson, « For What Technology Can’t Fix: Building a Model of Organizational Cybersecurity Culture », fichier PDF dans « Proceedings of the 52nd Hawaii International Conference on System Sciences » (Honolulu : Université d’Hawaï, 2019), 6398-6407.

Demandez à être contacté