Cyberattaques : sécuriser dès la conception pour éviter de prendre l’eau

CyberattaquesLe niveau de sécurité des applications que nous utilisons chaque jour via nos smartphones et ordinateurs est alarmant. Selon une étude récente, 77 % des applications présentent au moins une vulnérabilité à la première analyse.

Moins d’un tiers des entreprises ont mis en place une stratégie de sécurité efficace pour faire face à des attaques de grande ampleur, alors que le logiciel malveillant « WannaCry » a paralysé l’an dernier 300 000 ordinateurs dans plus de 150 pays. Et quand des bugs critiques sont décelés, seul 1 sur 3 est résolu dans le mois qui suit…

Gouvernance à tous les étages
Même dans le cas où le code développé en interne est irréprochable, les applications ne sont pas à l’abri d’une faille de sécurité, car nombre d’entre elles intègrent des librairies « open source » dont la sécurité n’est pas garantie. Ce type de composants peut représenter jusqu’à 75 % du code d’un logiciel !
Elles tirent maintenant parti d’infrastructures qui évoluent rapidement et dont le modèle est de plus en plus hybride. En effet, les entreprises se tournent aujourd’hui massivement vers des plateformes Cloud qui leur proposent des technologies de micro-services et de conteneurs qui facilitent et accélèrent la mise à disposition d’applications. Mais ces composants peuvent embarquer du code défaillant, voire malveillant, et les entreprises qui les utilisent non seulement mettent en danger la sécurité de leur système d’information, mais également celle des membres de leur écosystème.
Des études révèlent de plus qu’en environnement de stockage cloud, une base de données sur six n’implémente aucune mesure de sécurité et reste ouverte à tous les vents. Certes, les plateformes cloud offrent des mesures de protection, souvent très sophistiquées, mais si les entreprises ne les exploitent pas systématiquement, leur code et leurs données restent vulnérables. Il est donc urgent que les entreprises revoient leurs règles de gouvernance pour l’usage des data centers et des plateformes cloud.
Du RGPD à la culture d’entreprise
Au-delà des règles de gouvernance, qui brillent souvent par leur absence, la solution au problème de la sécurité des applications ne pourrait-t-elle pas venir de la réglementation ? La sécurité est au cœur du Règlement général sur la protection des données (RGPD) mis en application le 25 mai dernier. Mais s’il offre un cadre plus strict pour l’exploitation de données personnelles, son article 20 pourrait fort bien ouvrir une boîte de Pandore pour leur sécurité.

Centré sur la portabilité des données, cet article a été conçu dans le but de faciliter le transfert des données personnelles entre des opérateurs concurrents. Par exemple, si un client souhaite abandonner Apple Music pour souscrire à Deezer, ou vice versa, ses « playlists » seront automatiquement transférées de l’un à l’autre.

C’est un vrai bénéfice pour la liberté du consommateur, mais qui comporte un risque majeur : bientôt, des « plateformes de portabilité » pourraient jouer le rôle d’intermédiaires entre différents acteurs du marché. Et ces plateformes feront circuler des données personnelles de façon plus ou moins sécurisée. Le risque est moins que ces agrégateurs accèdent aux données personnelles sans le consentement du client (quoique…), mais que la sécurité des API utilisées pour faire transiter les données soit défaillante.

Face à ces constats, que peut donc faire l’entreprise ? Elle doit changer de culture ! Si beaucoup perçoivent la sécurité comme un frein à la réactivité, à la productivité et à l’agilité, c’est que la sécurité est souvent prise en compte trop tard, ce qui impose de redévelopper le code et allonge le « time to market ».

Dans le contexte actuel, cette approche n’est pas pérenne : quand un développeur écrit la première ligne de code d’une application, la sécurité doit être sa priorité. Tout comme le « privacy by design » imposé par le RGPD, le « security by design » doit devenir le credo des équipes de développement.

Et les conseils d’administration comme les dirigeants doivent faire de la sécurité la pierre angulaire de leur stratégie de conquête et de fidélisation, car c’est le socle sur lequel repose la confiance des clients. Et sans confiance, pas de croissance…

Retrouvez cet article sur Zdnet.fr