Sécurisé par conception: Un apprêt

11 Oct 2023

Secure by Design est l’une des méthodologies de développement les plus populaires utilisées aujourd’hui, car elle garantit que la confidentialité des données et la cybersécurité sont intégrées à chaque étape du cycle de vie du développement.

Secure by Design est une méthodologie de développement logiciel et matériel qui a gagné un grand nombre de suivis dédiés au cours des deux dernières décennies. Les développeurs soucieux de la sécurité ont adopté l’approche car elle intègre des considérations de cybersécurité dans chaque phase du processus de développement, réduisant considérablement le nombre de vulnérabilités de sécurité et de vecteurs d’attaque.

Le mouvement Secure by Design est né de l’Open Worldwide Application Security Project (OWASP), qui a été lancé en décembre 2001 dans le but de « permettre aux organisations de concevoir, développer, acquérir, exploiter et maintenir des applications fiables ».

Cette fondation à but non lucratif a servi de réseau lâche pour les développeurs soucieux de la sécurité à la recherche de ressources et de meilleures pratiques pour assurer le développement de logiciels sécurisés. Au cours des deux dernières décennies, l’OWASP et les organismes de réglementation gouvernementaux ont transformé l’idée générale de la sécurité des applications en principes et règlements techniques formalisés collectivement appelés Secure by Design.

Secure by Design est rapidement devenu l’approche dominante de la cybersécurité pour le développement de logiciels. Les développeurs peuvent suivre les directives OWASP sur Secure by Design, en plus des directives nationales pertinentes, pour s’assurer que les produits protègent adéquatement la confidentialité des données et intègrent les dernières pratiques de sécurité.

Comprendre la sécurité par conception

Secure by Design est une approche de développement logiciel qui intègre les protections de la cybersécurité et les considérations de confidentialité des données à chaque étape du cycle de vie du développement logiciel (SDLC). Cela comprend l’intégration de considérations de sécurité dans :

  • Analyse des besoins
  • Planification
  • Conception architecturale
  • Développement de logiciels
  • Essais
  • Déploiement

De manière cruciale, les organisations qui suivent les principes de Secure by Design considèrent la cybersécurité et la protection de la confidentialité des données comme un objectif commercial fondamental, plutôt que comme une réflexion après coup. Les meilleurs praticiens lancent des projets de développement de logiciels avec la cybersécurité comme priorité numéro un, et ils trouvent comment protéger les données des consommateurs avant de lancer le développement ou d’écrire une seule ligne de code.

La stratégie axée sur la cybersécurité est ce qui différencie Secure by Design des autres approches, car elle garantit que l’équipe de développement ne peut pas créer de logiciels non sécurisés sans ignorer intentionnellement la confidentialité des données à chaque étape de la SLDC.

Cette approche n’a pas seulement été adoptée par le secteur privé et les communautés du génie logiciel pour identifier les vulnérabilités et réduire le nombre de menaces. Les gouvernements du monde entier ont demandé aux agences fédérales, aux entrepreneurs et même aux entreprises privées d’adopter cette approche pour prévenir les violations de données et créer une technologie qui protège les données et génère la confiance des consommateurs.

Lignes directrices internationales sur la sécurité par conception

En avril 2023, les agences de cybersécurité du monde occidental ont publié des directives internationales consolidées sur la sécurité par conception et la sécurité par défaut, fournissant aux ingénieurs une feuille de route solide pour créer une technologie avec la confidentialité des données et la cybersécurité intégrées comme caractéristique principale.

Intitulé Shifting the Balance of Cybersecurity Risk : Principles and Approaches for Security-by-Design et -Default, ce document est peut-être la ressource la plus importante pour les organisations qui ont l’intention d’intégrer des principes de sécurité par conception dans leur processus de développement.

Ces lignes directrices exhaustives sur la sécurité par conception ont été produites en collaboration avec les autorités suivantes :

  • Cybersecurity and Infrastructure Security Agency (CISA) – États-Unis
  • National Security Agency – États-Unis
  • Federal Bureau of Investigation – États-Unis
  • National Cyber Security Centre – Royaume-Uni
  • Centre de cybersécurité – Australie
  • Centre pour la cybersécurité – Canada
  • Office fédéral de la sécurité de l’information – Allemagne
  • Centre national de cybersécurité – Pays-Bas
  • CERT NZ – Nouvelle-Zélande
  • Centre national de cybersécurité – Nouvelle-Zélande

Dans le document, les principales agences de cybersécurité du monde plaident en faveur de l’intégration des principes de secure by design dans chaque produit technologique, y compris ceux produits par le secteur privé.

Un nombre croissant de cybermenaces

Ces agences soutiennent que le nombre croissant de cyberattaques dans des secteurs critiques, comme les installations gouvernementales, les services financiers, les entreprises, les télécommunications et l’immobilier, met la vie des gens en danger et nécessite l’adoption généralisée de l’approche Secure-by-Design pour lutter contre cette menace. Les auteurs ont écrit ce qui suit :

Pour créer un avenir où la technologie et les produits associés sont plus sûrs pour les clients, les agences de création exhortent les fabricants à réorganiser leurs programmes de conception et de développement pour permettre uniquement aux produits sécurisés par conception et par défaut d’être expédiés aux clients. Les produits qui sont sécurisés par conception sont ceux où la sécurité des clients est un objectif commercial principal, pas seulement une fonctionnalité technique. Les produits sécurisés par conception commencent par cet objectif avant le début du développement.

Agence de cybersécurité et de sécurité des infrastructures

En effectuant des évaluations des risques avant de lancer le processus de développement, les organisations peuvent créer des logiciels et du matériel plus sécurisés qui peuvent résister à de nombreuses formes courantes de cyberattaque. Cela peut permettre aux organisations d’économiser de l’argent et de réduire le temps passé à corriger les vulnérabilités. Il épargnera également aux entreprises les dommages à la réputation associés à une cyberattaque réussie et aidera les organisations à éviter les sanctions réglementaires.

L’Union européenne

Les organisations situées au sein de l’Union européenne seront bientôt tenues de suivre des directives similaires, telles que définies dans le projet de loi européenne sur la cyberrésilience, qui obligera les fabricants à intégrer des protections de cybersécurité dans le nouveau matériel et les nouveaux logiciels.

L’organisation régionale soutient que le nombre croissant de cyberattaques réussies, combiné au coût élevé associé à ces attaques, nécessite une réponse réglementaire ferme. L’UE déclare que les produits technologiques sont particulièrement sensibles aux cyberattaques en raison de ce qui suit :

  1. un faible niveau de cybersécurité, reflété par des vulnérabilités généralisées et la fourniture insuffisante et incohérente de mises à jour de sécurité pour y remédier, et
  2. une compréhension et un accès insuffisants à l’information par les utilisateurs, les empêchant de choisir des produits avec des propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.
Loi sur la cyberrésilience

En raison de cette situation précaire, l’UE a proposé une série de règles de cybersécurité exigeant que les principes de la sécurité par conception soient intégrés dans tous les développements de produits technologiques en utilisant un « cadre de cybersécurité cohérent, facilitant la conformité pour les producteurs de matériel et de logiciels ».

L’objectif est de s’assurer que moins de produits sont expédiés sur le marché avec des vulnérabilités de sécurité et d’«améliorer la transparence des propriétés de sécurité des produits avec des éléments numériques », permettant aux consommateurs de prendre le contrôle de leur propre sécurité de l’information.

États-Unis

Les agences exécutives, les entrepreneurs gouvernementaux et les entreprises d’infrastructures critiques situées aux États-Unis doivent également intégrer les méthodologies Secure by Design dans les nouveaux produits.

Le National Institute of Standards and Technology (NIST) exige que ces organisations suivent les principes approuvés de Secure by Design, détaillés dans le SP 800-160 Volume 1 Revision 1: Engineering Trustworthy Secure Systems. Ce document « décrit une base pour l’établissement de principes, de concepts, d’activités et de tâches pour l’ingénierie de systèmes sécurisés fiables ».

Il est important de noter que le NIST n’a pas de droits acquis dans les systèmes hérités construits avant les mandats de Secure by Design, ni ne fait de distinction entre la taille ou la portée d’un produit. On s’attend également à ce que les organisations intègrent les principes de Secure by Design dans les nouveaux produits et les mises à jour logicielles héritées.

Le NIST a déclaré: « Ces principes, concepts, activités et tâches peuvent être appliqués efficacement dans les efforts d’ingénierie des systèmes pour favoriser un état d’esprit commun pour la sécurité de tout système, quel que soit l’objectif, le type, la portée, la taille, la complexité ou l’étape de son cycle de vie du système. »

La Maison-Blanche mène la charge

L’orientation fédérale n’est pas seulement importante pour les organisations réglementées non plus. Les dirigeants de la Maison Blanche, du CISA et du NIST ont exhorté les entreprises du secteur privé à adopter les principes de la sécurité par conception et à se concentrer sur la création de produits dotés de contrôles de confidentialité des données stricts étroitement intégrés dans leurs logiciels et leur matériel.

La Maison-Blanche a clairement exprimé cette position dans la stratégie nationale de cybersécurité de mars 2023, où elle a déclaré: « Trop de fournisseurs ignorent les meilleures pratiques pour un développement sécurisé, expédient des produits avec des configurations par défaut non sécurisées ou des vulnérabilités connues, et intègrent des logiciels tiers de provenance non améliorée ».

En outre, la Maison Blanche a déclaré que de nombreux développeurs de logiciels se protègent de toute responsabilité en tirant parti de leur position sur le marché et de leurs contrats favorables.

Malgré les incitations actuelles à éviter toute responsabilité en cas de mauvaise cybersécurité, la Stratégie nationale de cybersécurité soutient que « nous devons commencer à transférer la responsabilité sur les entités qui ne prennent pas de précautions raisonnables pour sécuriser leurs logiciels ». La stratégie poursuit : « Les entreprises qui fabriquent des logiciels doivent avoir la liberté d’innover, mais elles doivent également être tenues responsables lorsqu’elles ne respectent pas le devoir de diligence qu’elles ont envers les consommateurs. »

La cybersécurité est une préoccupation organisationnelle

Jen Easterly, directrice de la CISA, a fait écho à ce sentiment et a parlé en détail des problèmes associés aux produits du secteur privé peu sûrs, en particulier dans son article de février 2023 Stop Passing the Buck on Cybersecurity. Elle a écrit: « L’utilisation généralisée de technologies dangereuses est aggravée par une pratique courante dans de nombreuses organisations et entreprises de reléguer la cybersécurité aux « iniériments » ou à un responsable de la sécurité de l’information. »

Elle a poursuivi en disant que les RSSI et les spécialistes de l’informatique « se voit confier cette responsabilité, mais pas les ressources, l’influence ou la responsabilité pour s’assurer que la sécurité est correctement priorisée …

Pour adopter pleinement Secure-by-Design comme principe directeur, les organisations doivent intégrer l’idéologie dans tous les aspects du processus de développement et inculquer aux dirigeants et aux experts en la matière l’autorité et les ressources nécessaires pour surmonter les objections fondées sur le profit qui peuvent compromettre la sécurité.

En résumé

L’émergence du mouvement Secure by Design a été un événement marquant dans le monde du développement de logiciels.

Avant la campagne visant à faire de la sécurité une caractéristique principale du produit, la plupart des entreprises de fabrication considéraient la cybersécurité comme une réflexion après coup, en utilisant une approche que de nombreuses agences de cybersécurité appellent « vulnérable par conception ». Cela a conduit à un cycle continu de cyber-attaques, d’identification des vulnérabilités et de livraison de correctifs aux consommateurs longtemps après que les dommages ont été faits, a continué ad nauseam.

En intégrant l’approche Secure by Design aux étapes de planification, de développement, de déploiement et de maintenance du processus de production, les organisations brisent ce cycle et réduisent le nombre de cyberattaques réussies. Ce type d’approche proactive permet également aux organisations d’économiser du temps et de l’argent, en plus d’aider les entreprises à éviter les violations de données embarrassantes qui nuisent à la confiance du public et réduisent leurs revenus.