Notre blog
Qu’est-ce que l’approche Secure by Design ?
25-mai-2023
Dans le rapport du Sénat du 10 juin 2021 qui s'appuie sur un sondage OpinionWay réalisé par le CESIN sur 228 entreprises, on lit que 57 % des entreprises déclarent avoir connu au moins une cyber-attaque en 2020. À ces menaces s’ajoutent les risques en croissance et à venir :
- L'internet des Objets (IoT) va augmenter considérablement la quantité de “End Point”. Les appareils connectés prolifèrent de plus en plus sur les marchés, il est crucial que les entreprises mettent en place gouvernanceune stratégie de sécurité plus stricte, à travers une approche de cybersécurité efficace et native.
- L'exploitation de l’intelligence artificielle qui se démocratise et permet de révéler vos failles de sécurité beaucoup plus rapidement
- Et, viendra un jour l’ordinateur quantique qui sera en mesure de casser le chiffrage RSA, d’ici 10 à 20 ans
Il est donc indispensable, non pas de rajouter des couches de sécurités afin de protéger les données mais bien d’intégrer ces éléments de sécurité dès la conception des services numériques, des infrastructures au développement des applications. C’est ce que l’on peut appeler la Sécurité par Conception ou Security by Design.
Une des définitions est la suivante :
"Le concept de Security by Design désigne la prise en compte du risque et l’intégration d’une sécurité fondamentale dans la conception même des infrastructures, des logiciels et produits connectés. On peut parler de sécurité dès la conception, ou de sécurité par conception."
Que veut-on dire par « Security by design » ou « Sécurité par conception » ?
Le concept de Security by Design s’agit donc d’une approche de développement qui privilégie l’intégration du risque et la sécurisation des réalisations lors de la phase de conception et de codage, plutôt que de consacrer à cet enjeu une étape en aval dans le processus de développement. Il vise à intégrer les notions de sécurité, de contrôle d’accès et de respect de la confidentialité des données tout au long des projets de développement d’applications métier et de dématérialisation. En l’intégrant le plus en amont possible, dès les phases de spécifications puis de conception, les équipes peuvent ainsi mieux anticiper les risques qu’ils soient d’ordres techniques (mise à jour des composantes logicielles, liens avec la solution SSO pour l’authentification, identification de failles potentielles, etc.) ou humains (habilitations, confidentialité, etc.).
Davantage encore, elle pense la sécurité et la prévention des cyber-menaces comme un élément fondamental du développement logiciel et des déploiements de systèmes d’informations.
En d’autres termes, l’approche SbD (Security by Design) vise à prévenir une atteinte à la cybersécurité plutôt qu’à réparer les problèmes et à restaurer les systèmes après coup.
Les principes de la Security by Design :
La Security by Design repose sur quelques principes clés :
- Minimisation des surfaces d'attaque : Il s'agit de réduire les vulnérabilités potentielles en limitant les points d'entrée accessibles aux attaquants. Cela implique d'identifier les risques pote ntiels et de mettre en place des mesures de sécurité appropriées dès le début.
- Séparation des privilèges : Ce principe consiste à accorder des privilèges d'accès uniquement aux personnes qui en ont besoin pour accomplir leur travail. En limitant les autorisations excessives, on réduit les risques d'abus ou de compromission des données sensibles.
- Défense en profondeur : Il s'agit de mettre en place des mesures de sécurité multiples et complémentaires afin de garantir une protection globale. Cette approche inclut l'utilisation de pare-feu, de systèmes de détection d'intrusion, de chiffrement des données, etc.
- Traçabilité et auditabilité : Pour assurer une sécurité efficace, il est essentiel de pouvoir retracer et auditer les actions effectuées sur les systèmes. La mise en place de journaux d'audit et de mécanismes de surveillance permet de détecter les activités suspectes et de prendre des mesures correctives rapidement.
Impacts sur les organisations
En plus des contraintes techniques, la Security by Design a un impact sur les processus métiers internes mais aussi de relations avec ses partenaires fournisseurs mais aussi ses clients.
Il est donc indispensable de bien cartographier ses processus, de mener des analyses de risques et d’impacts avec les différents représentants des organisations (RH, Servide clients, finance, ventes, production…) La gouvernance de ces interactions est primordiale pour mener à bien ce changement.
Des normes et certifications
La norme ISO 27001 relative à la sécurité des systèmes d’information prévoit de nombreuses dispositions et bonnes pratiques pour adopter une démarche Security by design. On peut citer par exemple l’importance d’avoir une approche pilotée par les risques, afin d’augmenter au maximum les mesures de protection. Les équipes évaluent ainsi systématiquement tous les risques liés à une fonctionnalité, un flux d’intégration de données, l’envoi d’un rapport documentaire, etc. De plus, cette approche par les risques s’inscrit parfaitement dans la méthode agile lors de la conception de l’application métier.
La certification française de l’ANSSI SecNumCloud intègre aussi ce concept en renforçant la notion de souveraineté numérique.
Enfin, la notion de Security by design touche également la notion de Privacy by design et de protection des données personnelles car conformément au RGPD, certaines informations gérées par les applications métier ne peuvent être partagées à d’autres personnes même si elles concourent à transformer la donnée dans des règles métier.
Un intérêt aussi économique
Tel qu’évoqué précédemment, la prise en compte de la sécurité dès la conception permet d’intégrer le risque et augmenter la sécurité d’un système. In fine, cette approche par anticipation peut se révéler particulièrement intéressante d’un point de vue économique. En cas d’incident, les dommages et les pertes financières seront minimisés si la conception du système est secure by design.
Pascal Baratoux
CEO Innovalead