Transformation in die Cloud - welche Cloud darf es sein?
Blickwinkel Security

La sécurité dès le stade de la conception : être sûr dès le début

14 févr. 2017

Vorteile von Security by Design – integrierte Sicherheit
Avant qu’un nouveau produit soit réalisé, de nombreuses questions passent par la tête d’un développeur : comment l’écran de saisie des données devrait-il se présenter ? Quelle efficacité pour le nouveau logiciel ? Il y a cependant un autre aspect important qui est trop souvent négligé: la sécurité.
Et tout cela à un moment où le nombre de cyberattaques augmente rapidement, comme le révèle le rapport de situation du BSI, bureau fédéral à la sécurité des informations de la RFA. Selon ce même rapport, les experts découvriraient environ 380 000 nouvelles versions de logiciels malveillants chaque jour. Les grandes entreprises notent déjà plusieurs milliers d’attaques quotidiennes.
« Le problème est que 95% des attaques réussies le sont parce que les logiciels sont mal programmés, mal maintenus ou mal configurés » indique Thomas Tschersich, directeur de la sécurité interne et de la cyberdéfense chez Deutsche Telekom. Mais ce problème peut être résolu à condition de prendre en considération les questions de sécurité dès le départ « plutôt que de coller un pansement sur un produit une fois qu’il a été assemblé » ajoute Tschersich. La formule consacrée est donc « sécurité dès le stade de la conception ». 

La sécurité dès le stade de la conception évite les erreurs aussi tôt que possible

Si un développeur inclut des fonctions de sécurité comme critère de design, les erreurs de systèmes peuvent être évitées dès le départ. « Les programmeurs travaillent ensuite d’une manière complètement différente et doivent se frayer un chemin à travers les caractéristiques techniques. Si la sécurité ne fait pas partie des critères de design, elle ne sera pas véritablement prise en compte » - explique Tschersich. Dans ce cas, les développeurs ne peuvent qu’espérer que tout ira bien. « Mais l’expérience montre que c’est en général l’inverse qui se passe. »
Idéalement, les questions de sécurité feraient partie intégrante du concept dès l’idée de projet. Il s’agirait de se poser deux questions. L’idée peut être mise en application au regard des questions de sécurité ? De quel type d’exigences fonctionnelles de sécurité avons-nous besoin ? Le résultat est que l’aspect sécuritaire est inséré dans le prototype et confirmé à chaque étape de production. Tschersich le dit : « lorsque le produit fini passe les tests de confirmation, il les réussit. En tout cas c'est le scénario le plus optimiste ».

Une réduction de la surface vulnérable de plus de 95%

M. Tschersich, expert en sécurité, conseille aux entreprises de se tenir aux règles de base. « En appliquant ces règles d’or, vous réduirez la zone vulnérable de plus de 95%. »

1. Réduire la zone vulnérable:

Celle-ci peut-être minimisée en désactivant ce qui est superflu. Une fois désactivée, les logiciels et composantes inutiles des systèmes informatiques ne peuvent plus être attaqués. Comme le note Tschersich : « quand on a besoin que d’une porte pour sa maison, on n’en met qu’une. »

2. Authentifier comme il le faut:

Les informations confidentielles et systèmes d’information ne devraient être accessibles qu’aux personnes avec lesquelles vous avez l'intention de communiquer. « Assurez-vous que seuls les utilisateurs ou systèmes authentifiés peuvent accéder à quelque chose, vous exclurez ainsi tous les non-identifiés avec un haut degré de probabilité » affirme Tschersich.

3. Vérifiez les entrées:

Vérifiez si tous les caractères saisis sont autorisés – notamment pour les caractères spéciaux – et si la longueur maximale est respectée. À titre d’exemple, quand un utilisateur commande quelque chose sur un site, seuls les nombres et éventuellement la ponctuation sont requis dans le champ concernant la date de naissance. « Une attaque peut être évitée en ignorant tout sauf les nombres et les points » ajoute Tschersich.

4. Des systèmes séparés:

Après une attaque réussie sur un système, les pirates essaient souvent d’accéder progressivement à d’autres systèmes à partir de là. Les systèmes devraient donc être séparés les uns des autres. « Si le serveur réseau par exemple est piraté, l’assaillant est encore loin de la base de données » note Tschersich.

5. Encoder les données confidentielles:

L’accès au stockage des données, le traitement et les systèmes de transfert ne sont pas d’habitude réservé à l’entreprise elle-même, alors que c’est le cas lorsqu’on a recours à des services cloud. Cela signifie qu’il est primordial de protéger les informations confidentielles. Tschersich explique : « même si un assaillant pirate un système, il n’aura pas accès aux données encodées. »

6. Actualiser régulièrement:

Les systèmes ne sont pas protégés si leur version n’est pas régulièrement mis à jour. C’est en effet une condition absolue pour pouvoir empêcher les pirates d’utiliser les failles qu’ils auront remarquées.

7. Soumettre la sécurité à un examen continu:

La barre d’état de sécurité des systèmes et leur vulnérabilité aux attaques doit être régulièrement vérifiée à l’aide de tests de sécurité. 
«Les systèmes sont des organismes vivants et sont donc sujets à évoluer. On découvre du reste de plus en plus de points faibles » - explique Tschersich. 

La sécurité dès le stade de la conception réduit les risques de responsabilité

Selon notre expert en sécurité, une société peut également réduire les risques de responsabilité grâce à la sécurité dès le stade de la conception. « À l’avenir, les fabricants peuvent s’attendre à être tenus responsables quand ils n’auront pas prévu les dispositifs de sécurité nécessaires dès le début. » Une société ne pouvant prouver avoir fait tout le nécessaire pour que le niveau de sécurité soit adéquat rencontrera rapidement selon Tschersich « de sérieux soucis financiers ».