Qu’est-ce que le principe du Security-by-Design ?

Savez-vous quelle est la troisième économie mondiale ? Ce n’est ni le Japon, ni l’Allemagne, ni le Royaume-Uni et encore moins la France. Mais la cybercriminalité.

Selon Cybersecurity Ventures, elle devrait atteindre 10 500 milliards de dollars d’ici 2025, avec une croissance annuelle de 148 % pour ses ransomwares. D’ailleurs, plus de la moitié des entreprises ont déjà subi une attaque.

Dans ces conditions, il semble plus que nécessaire de prendre des mesures pour renforcer la sécurité des données et limiter ces attaques. C’est justement l’intérêt de l’approche Security-by-Design.

Chez Oodrive, nous ne faisons pas de compromis avec la sécurité nos solutions reposent sur des fondations ultra-sécurisées, pour que vos données sensibles et vos processus soient protégés à tout moment.

Security-by-Design, la sécurité dès la conception

En développant le modèle Security-by-Design (ou SbD), les entreprises prennent en compte  le risque cyber dès la conception du logiciel, de l’infrastructure ou des autres produits web (notamment les IoT).

Cette nouvelle approche du développement web met la sécurité au cœur de la conception logiciel. Les problématiques cyber ne sont plus seulement envisagées au milieu ou en fin de processus, mais dès le début du codage.

C’est tout un changement de paradigme qui implique de se focaliser sur la prévention des attaques cybers et la consolidation des données sécurisées, plutôt que sur la réaction à ces attaques, comme la résolution des problèmes ou la restauration des systèmes.

Au niveau des processus de développement, l’approche Security-by-Design s’inscrit dans le mouvement DevSecOps :

  • En phase de conception : les différentes options de sécurité sont intégrées dès la phase d’intégration et de test continus. Autrement dit, elles sont implémentées puis testées, afin de ne sélectionner que les meilleures solutions de sécurité pour l’architecture. Ces solutions deviennent en quelque sorte des principes directeurs pour les développeurs.
  • En phase de déploiement : lors du déploiement continu, des tests d’intrusion sont menés pour améliorer toujours plus le niveau de sécurité du logiciel.
  • En phase de livraison : des tests et audits préventifs continuent d’être lancés pour affiner la solution de sécurité.

Bon à savoir : Dans le cadre du RGPD, l’approche Security-by-Design devient Privacy-by-Design. L’idée est toujours la même : fournir une protection optimale aux données personnelles dès la conception.

Les 3 principes de la conception sécurisée

Le concept de Security-by-Design repose sur 3 principes fondateurs

La surface d’attaque minimale

La surface d’attaque correspond à tous les points de communication entre un système d’information et l’extérieur. Il peut s’agir de :

  • Logiciels, en particulier s’ils sont stockés sur des espaces de cloud computing;
  • Réseaux avec des ports ouverts, des IP actives, des protocoles utilisés,… ;
  • Ressources humaines, notamment avec la stratégie de phishing ;
  • Intrusion dans les locaux.

Plus la surface d’attaque est étendue, plus le système d’information est vulnérable aux attaques. Il sera, en effet, plus difficile de gérer l’ensemble de ces points d’entrées. Il convient donc de minimiser sa surface d’attaque.

Le cloud privé SecNumCloud

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

Pour cela, il faut d’abord identifier les points de communication entre le SI et l’extérieur. À partir de là, il est possible d’y implémenter des outils de surveillance et des solutions de protection.

Ces derniers permettront à l’ingénieur DevSecOps de réaliser des analyses de sécurité régulières (en particulier pour les points d’entrée les plus sensibles).

Et pour les points de communication peu ou pas utilisés par le système d’information, il suffit de les fermer.

C’est ce durcissement qui permettra de réduire la surface d’attaque et donc de maximiser l’efficacité de l’approche de Security-by-Design.

Le moindre privilège

Selon le principe du moindre privilège, un administrateur n’a accès qu’aux ressources dont il a effectivement besoin. Pour toutes les autres, il ne devrait pas pouvoir y accéder.

Pour mettre en place ce principe du Security-by-Design, il est indispensable de définir les tâches, les rôles et les droits attribués à chaque utilisateur.

En réduisant les droits des utilisateurs, cela permet aussi de minimiser la surface d’attaques. Si un intrus vient à s’immiscer dans le réseau via la stratégie du phishing, il n’aura accès qu’à un nombre limité de ressources. Ce qui réduit considérablement son impact.

La défense en profondeur

C’est une tactique inspirée des stratégies militaires qui consiste à retarder l’ennemi. Pour cela, les ingénieurs DevSecOps doivent exploiter et combiner plusieurs techniques de sécurité.

La défense contre les éventuelles menaces est donc plus efficace, puisqu’elle ne repose plus seulement sur une seule barrière, mais plusieurs.

Protection des données sensibles

Classifiez, protégez et sécurisez vos données sensibles grâce au SecNumCloud.

Voici les étapes pour implémenter une défense en profondeur efficace :

  • Déterminer les objectifs de sécurité ;
  • Définir l’organisation et l’architecture du système d’information ;
  • Identifier les points de contrôle et les évaluer ;
  • Élaborer une politique de défenses (avec le chiffrement des données, les autorisations, la sauvegarde régulière, …) ;
  • Évaluer la défense en continu grâce à des contrôles et des audits.

Comment choisir sa solution Security-by-Design ?

Une solution Security-by-Design doit respecter les piliers essentiels, à savoir : 

  • La confidentialité : cela reprend le principe du moindre privilège où seuls les utilisateurs autorisés ont accès aux données dont ils ont besoin.
  • L’intégrité : les données sécurisées n’étant pas manipulables par des utilisateurs non autorisés, elles doivent rester fiables et qualitatives (aucune falsification ne doit être possible).
  • La disponibilité : si l’accès est restreint, les utilisateurs autorisés doivent pouvoir accéder facilement aux données dont ils ont besoin, quand ils en ont besoin.
  • La traçabilité : il s’agit d’analyser toutes les actions relatives aux données grâce aux journaux d’audit et de monitoring.

Au-delà de ces piliers, il est important de choisir une solution certifiée ISO 27001. Cette norme ISO relative à la sécurité des systèmes d’information s’aligne à la démarche Security-by-Design, à travers plusieurs dispositions.

Notamment l’approche pilotée par les risques qui implique une évaluation systématique des risques cyber.

Les solutions Oodrive sont justement certifiées ISO27001/701, SecNumCloud et HDS. L’objectif étant de répondre aux plus hauts niveaux d’exigence en matière de sécurité, de confiance et de conformité.

La sécurisation et la protection des données sont au cœur des préoccupations d’Oodrive. Les différentes étapes d’utilisation de nos solutions, et le design de celles-ci, aiguillent l’utilisateur final vers les bonnes pratiques sécuritaires.

Nous bâtissons la confiance nécessaire pour préserver l’intégrité et la confidentialité de ce qui revêt une importance primordiale aux yeux de nos clients et partenaires : idées, projets, innovations, talents.