Infos

La FTC invite les start-ups à penser à la sécurité de l’information dès le début

De nombreux grands éditeurs de logiciels ont appris il y a une dizaine d’années les conséquences que pouvait avoir un logiciel de mauvaise qualité et ils avaient alors décidé qu’il fallait tenir compte de la sécurité dès les premières étapes du développement. Ceci étant dit, certains d’entre eux n’ont toujours pas assimilé la leçon. La Commission fédérale du commerce (FTC) des Etats-Unis et les passionnés de la sécurité de l’information espèrent que les nouveaux venus dans le monde de l’édition de logiciels ne vont pas répéter ces mêmes erreurs.

La FTC a lancé récemment une nouvelle initiative baptisée Start With Security qui vise les start-ups pour les aider à introduire la sécurité Internet non seulement dans les produits, mais également dans la culture de développement. Un des aspects de ce projet consiste à encourager les petites entreprises à penser aux exigences liées à la sécurité de l’information dès le début du cycle de développement. Une stratégie similaire a déjà été adoptée par de grands éditeurs comme Microsoft, Adobe, etc.

Cette règle n’est pas due à une personne en particulier. Dans la majorité des cas, elle découle des mauvaises expériences liées aux modifications à introduire sans cesse dans les logiciels en raison d’attaques publiques répétées ou du mécontentement des utilisateurs. A ce niveau, Microsoft constitue le meilleur exemple : la succession d’attaques menées par des vers qui exploitaient les bugs dans ses logiciels a obligé l’éditeur à refondre sa démarche et à se pencher sur l’amélioration de la sécurité de ses produits.

Lors d’une table ronde dans le cadre d’une conférence organisée jeudi dernier à San Francisco à l’initiative de la FTC, Window Snyder, chargée à l’époque de la sécurité des produits de Microsoft, a indiqué que ce changement fut particulièrement lourd pour ce géant de l’informatique. La spécialiste de la sécurité de l’information qui travaille désormais pour Fastfly a déclaré que « la douleur ressentie à chaque fois avait été la principale motivation du changement chez Microsoft. Je ne souhaite à personne de suivre la même voie. »

Window Snyder a ajouté : « Microsoft a du fournir de gros efforts pour mettre en œuvre de tels changements. Changer de cap fut un grand défi et les coûts impliqués furent importants également. Cet aspect du développement ne doit pas être laissé pour plus tard. Il faut s’en occuper dès le début. C’est le meilleur moment pour résoudre les problèmes de sécurité. »

Les participants à la table ronde ont également signalé que l’introduction des aspects liés à la sécurité dès les premières étapes du développement permettait non seulement de simplifier la tâche, mais également de réduire les dépenses. Devdatta Akhawa, chargé de la sécurité chez Dropbox a affirmé que « plus une entreprise s’occupait tôt de la sécurité, moins elle devait dépenser, beaucoup moins. Vous avez le choix entre planifier la sécurité et profiter du succès de votre produit ou continuer à vous battre jusqu’à la bataille qui vous coûtera beaucoup d’argent ».

Il s’agit là d’une conclusion que les experts en sécurité des applications et autres tentent depuis longtemps, et avec différents degrés de réussite, d’inculquer aux développeurs. Les éditeurs de logiciels commerciaux tiennent compte déjà de la sécurité du code et modélisent les menaces Internet, mais ils ne sont pas les seuls : nombreuses sont les grandes entreprises qui participent aux projets les plus divers en matière de protection du code, comme l’initiative BSIMM par exemple. Toutefois, il est difficile de faire comprendre l’importance de la question aux personnes qui ne sont pas directement impliquées dans le domaine de la sécurité de l’information.

D’après Frank Kim, directeur de l’Institut SANS de la sécurité de l’information, un des aspects importants du nouveau projet doit porter sur la démonstration des risques et des avantages liés à une application de qualité. L’expert est convaincu qu’il est « nécessaire d’apporter des arguments pour défendre le point de vue. On ne peut pas simplement dire : ‘il y a une vulnérabilité dans ton code, tu es un incapable’. Il faut expliquer les conséquences de cette vulnérabilité dans cette application afin de donner du poids et un caractère concret à votre déclaration ».

Les responsables de la FTC, l’organe américain charger d’enquêter sur les entreprises qui ne respectent pas les normes de sécurité et de respect de la vie privée et de les sanctionner, reconnaissent l’importance de la problématique de la sécurité. Dans son discours de clôture de la table ronde, Edith Ramirez, qui représentait la FTC, a déclaré : « Dans un monde dépendant des communications électroniques, le manque de fiabilité des produits et des services peut avoir des conséquences catastrophiques. Garantir la sécurité des logiciels qui soutiennent notre vie numérique est plus important que jamais auparavant ».

Source: Threatpost

La FTC invite les start-ups à penser à la sécurité de l’information dès le début

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception