La FTC invite les start-ups à penser à la sécurité de l’information dès le début

De nombreux grands éditeurs de logiciels ont appris il y a une dizaine d’années les conséquences que pouvait avoir un logiciel de mauvaise qualité et ils avaient alors décidé qu’il fallait tenir compte de la sécurité dès les premières étapes du développement. Ceci étant dit, certains d’entre eux n’ont toujours pas assimilé la leçon. La Commission fédérale du commerce (FTC) des Etats-Unis et les passionnés de la sécurité de l’information espèrent que les nouveaux venus dans le monde de l’édition de logiciels ne vont pas répéter ces mêmes erreurs.

La FTC a lancé récemment une nouvelle initiative baptisée Start With Security qui vise les start-ups pour les aider à introduire la sécurité Internet non seulement dans les produits, mais également dans la culture de développement. Un des aspects de ce projet consiste à encourager les petites entreprises à penser aux exigences liées à la sécurité de l’information dès le début du cycle de développement. Une stratégie similaire a déjà été adoptée par de grands éditeurs comme Microsoft, Adobe, etc.

Cette règle n’est pas due à une personne en particulier. Dans la majorité des cas, elle découle des mauvaises expériences liées aux modifications à introduire sans cesse dans les logiciels en raison d’attaques publiques répétées ou du mécontentement des utilisateurs. A ce niveau, Microsoft constitue le meilleur exemple : la succession d’attaques menées par des vers qui exploitaient les bugs dans ses logiciels a obligé l’éditeur à refondre sa démarche et à se pencher sur l’amélioration de la sécurité de ses produits.

Lors d’une table ronde dans le cadre d’une conférence organisée jeudi dernier à San Francisco à l’initiative de la FTC, Window Snyder, chargée à l’époque de la sécurité des produits de Microsoft, a indiqué que ce changement fut particulièrement lourd pour ce géant de l’informatique. La spécialiste de la sécurité de l’information qui travaille désormais pour Fastfly a déclaré que « la douleur ressentie à chaque fois avait été la principale motivation du changement chez Microsoft. Je ne souhaite à personne de suivre la même voie. »

Window Snyder a ajouté : « Microsoft a du fournir de gros efforts pour mettre en œuvre de tels changements. Changer de cap fut un grand défi et les coûts impliqués furent importants également. Cet aspect du développement ne doit pas être laissé pour plus tard. Il faut s’en occuper dès le début. C’est le meilleur moment pour résoudre les problèmes de sécurité. »

Les participants à la table ronde ont également signalé que l’introduction des aspects liés à la sécurité dès les premières étapes du développement permettait non seulement de simplifier la tâche, mais également de réduire les dépenses. Devdatta Akhawa, chargé de la sécurité chez Dropbox a affirmé que « plus une entreprise s’occupait tôt de la sécurité, moins elle devait dépenser, beaucoup moins. Vous avez le choix entre planifier la sécurité et profiter du succès de votre produit ou continuer à vous battre jusqu’à la bataille qui vous coûtera beaucoup d’argent ».

Il s’agit là d’une conclusion que les experts en sécurité des applications et autres tentent depuis longtemps, et avec différents degrés de réussite, d’inculquer aux développeurs. Les éditeurs de logiciels commerciaux tiennent compte déjà de la sécurité du code et modélisent les menaces Internet, mais ils ne sont pas les seuls : nombreuses sont les grandes entreprises qui participent aux projets les plus divers en matière de protection du code, comme l’initiative BSIMM par exemple. Toutefois, il est difficile de faire comprendre l’importance de la question aux personnes qui ne sont pas directement impliquées dans le domaine de la sécurité de l’information.

D’après Frank Kim, directeur de l’Institut SANS de la sécurité de l’information, un des aspects importants du nouveau projet doit porter sur la démonstration des risques et des avantages liés à une application de qualité. L’expert est convaincu qu’il est « nécessaire d’apporter des arguments pour défendre le point de vue. On ne peut pas simplement dire : ‘il y a une vulnérabilité dans ton code, tu es un incapable’. Il faut expliquer les conséquences de cette vulnérabilité dans cette application afin de donner du poids et un caractère concret à votre déclaration ».

Les responsables de la FTC, l’organe américain charger d’enquêter sur les entreprises qui ne respectent pas les normes de sécurité et de respect de la vie privée et de les sanctionner, reconnaissent l’importance de la problématique de la sécurité. Dans son discours de clôture de la table ronde, Edith Ramirez, qui représentait la FTC, a déclaré : « Dans un monde dépendant des communications électroniques, le manque de fiabilité des produits et des services peut avoir des conséquences catastrophiques. Garantir la sécurité des logiciels qui soutiennent notre vie numérique est plus important que jamais auparavant ».

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *