Le nouveau monde est connecté. Il s’ensuit une explosion de production de données et d’applications répondant aux besoins des consommateurs. Mais, elles ne sont pas sans risque. D’où la nécessité de placer la sécurité au cœur du développement des logiciels, applications et produits mis sur le marché. Ici, apparaît un concept nouveau : Security by design.
Qu’est-ce que la Security by design ?
Au cours d’un panel réunissant les responsables des systèmes de sécurité et d’informations de quelques entreprises, dont Orange Côte d’Ivoire, au Cyber Africa Forum, les 24 et 25 avril 2023, à Abidjan, ce concept a été expliqué. Selon eux, l’expression Security by design (ou « sécurité par la conception ») intègre la notion de risque dans la conception d’un produit.
L’idée n’est plus de renforcer un système seulement en cas de défaillance comme cela pouvait se faire auparavant. Mais bien de prévenir ces risques. Aujourd’hui, cette approche de Security by design se généralise. Bon nombre de logiciels et de systèmes intègrent la sécurité et le risque dans leur conception.
Les principes d’une conception Security by design
Il s’agit, en somme, lors de la création d’un produit, d’effectuer un travail pour identifier ses vulnérabilités, ses risques et les contrôles nécessaires afin d’anticiper de potentielles défaillances. Une fois la conception terminée, l’architecture logicielle doit être préservée tout au long de l’exploitation du système.
Dans une approche Security by design, plusieurs éléments doivent être pris en compte :
- Comprendre et identifier les risques et menaces auxquels le système va être exposé.
- Minimiser la surface d’attaque. Pour cela, il est important de restreindre aux utilisateurs l’accès à certaines zones, afin de réduire les points d’entrée pour les violations de sécurité.
- Distinguer et restreindre les privilèges. Chaque utilisateur doit avoir un rôle défini et des accès restreints au strict nécessaire. L’administrateur peut, au cas par cas, accorder des accès supplémentaires si la demande se justifie.
- Prendre des précautions et rester vigilant vis-à-vis des services tiers.
Un intérêt économique
L’approche de sécurité par anticipation est intéressante d’un point de vue économique. En cas d’incident, les dommages seront minimisés si la conception du système est Security by design. « Ça ne s’arrête jamais. Pour une entreprise comme la nôtre avec 14 millions de clients, c’est un vrai garant de confiance aussi bien interne qu’externe », soutient Boidy Pacôme d’Orange Côte d’Ivoire.
En un mot comme en mille, dans la Security by design, on pense à la sécurité en amont, pas en aval, et dans tout le cycle de vie du produit pour prévenir les failles, garantir la disponibilité du service délivré à travers le produit, quelle que soit l’attaque…
K. Bruno
