25-mai-2023
Dans le rapport du Sénat du 10 juin 2021 qui s'appuie sur un sondage OpinionWay réalisé par le CESIN sur 228 entreprises, on lit que 57 % des entreprises déclarent avoir connu au moins une cyber-attaque en 2020. À ces menaces s’ajoutent les risques en croissance et à venir :
Il est donc indispensable, non pas de rajouter des couches de sécurités afin de protéger les données mais bien d’intégrer ces éléments de sécurité dès la conception des services numériques, des infrastructures au développement des applications. C’est ce que l’on peut appeler la Sécurité par Conception ou Security by Design.
Une des définitions est la suivante :
"Le concept de Security by Design désigne la prise en compte du risque et l’intégration d’une sécurité fondamentale dans la conception même des infrastructures, des logiciels et produits connectés. On peut parler de sécurité dès la conception, ou de sécurité par conception."
Le concept de Security by Design s’agit donc d’une approche de développement qui privilégie l’intégration du risque et la sécurisation des réalisations lors de la phase de conception et de codage, plutôt que de consacrer à cet enjeu une étape en aval dans le processus de développement. Il vise à intégrer les notions de sécurité, de contrôle d’accès et de respect de la confidentialité des données tout au long des projets de développement d’applications métier et de dématérialisation. En l’intégrant le plus en amont possible, dès les phases de spécifications puis de conception, les équipes peuvent ainsi mieux anticiper les risques qu’ils soient d’ordres techniques (mise à jour des composantes logicielles, liens avec la solution SSO pour l’authentification, identification de failles potentielles, etc.) ou humains (habilitations, confidentialité, etc.).
Davantage encore, elle pense la sécurité et la prévention des cyber-menaces comme un élément fondamental du développement logiciel et des déploiements de systèmes d’informations.
En d’autres termes, l’approche SbD (Security by Design) vise à prévenir une atteinte à la cybersécurité plutôt qu’à réparer les problèmes et à restaurer les systèmes après coup.
La Security by Design repose sur quelques principes clés :
En plus des contraintes techniques, la Security by Design a un impact sur les processus métiers internes mais aussi de relations avec ses partenaires fournisseurs mais aussi ses clients.
Il est donc indispensable de bien cartographier ses processus, de mener des analyses de risques et d’impacts avec les différents représentants des organisations (RH, Servide clients, finance, ventes, production…) La gouvernance de ces interactions est primordiale pour mener à bien ce changement.
La norme ISO 27001 relative à la sécurité des systèmes d’information prévoit de nombreuses dispositions et bonnes pratiques pour adopter une démarche Security by design. On peut citer par exemple l’importance d’avoir une approche pilotée par les risques, afin d’augmenter au maximum les mesures de protection. Les équipes évaluent ainsi systématiquement tous les risques liés à une fonctionnalité, un flux d’intégration de données, l’envoi d’un rapport documentaire, etc. De plus, cette approche par les risques s’inscrit parfaitement dans la méthode agile lors de la conception de l’application métier.
La certification française de l’ANSSI SecNumCloud intègre aussi ce concept en renforçant la notion de souveraineté numérique.
Enfin, la notion de Security by design touche également la notion de Privacy by design et de protection des données personnelles car conformément au RGPD, certaines informations gérées par les applications métier ne peuvent être partagées à d’autres personnes même si elles concourent à transformer la donnée dans des règles métier.
Tel qu’évoqué précédemment, la prise en compte de la sécurité dès la conception permet d’intégrer le risque et augmenter la sécurité d’un système. In fine, cette approche par anticipation peut se révéler particulièrement intéressante d’un point de vue économique. En cas d’incident, les dommages et les pertes financières seront minimisés si la conception du système est secure by design.
Pascal Baratoux
CEO Innovalead