Trois façons grâce auxquelles le secteur de la cybersécurité a fait progresser l’initiative « Secure by Design » en 2023
décembre 2023 par Jeff Stewart, CTO & Vice-President, Global Solutions Engineering de SolarWInds
Selon le vice-président de SolarWinds, la mise en œuvre des principes de Secure by Design tout au long du cycle de développement des logiciels contribue à un monde plus sécurisé.
Dans le paysage en constante évolution de la cybersécurité, l’anticipation des menaces est un combat de tous les instants. Les acteurs de la menace ont des capacités qui dépassent ce que l’on pensait jusqu’à présent. Les acteurs d’États-nations continuent d’utiliser de nouveaux outils et de nouvelles techniques pour mener des cyberattaques hautement sophistiquées et imprévisibles. De plus, notre monde numérique n’a jamais été aussi complexe en raison du développement de logiciels modernes. Les efforts de transformation numérique et du cloud compliquent également le paysage.
Parmi ces changements, on ne saurait trop insister sur l’importance d’adopter une approche Secure by Design. Secure by Design n’est pas un simple mot à la mode, il s’agit d’un changement d’état d’esprit fondamental. Il s’agit d’intégrer la sécurité à chaque étape du processus de développement d’un produit ou d’un système. Au cours de l’année écoulée, le secteur de la cybersécurité a fait des progrès considérables dans la réalisation de cet objectif, marquant un changement de paradigme dans la manière dont les entreprises publiques et privées abordent leurs défenses numériques. Ensemble, nous pouvons créer un paysage numérique plus sécurisé et plus fiable, et protéger notre monde interconnecté.
Adoption croissante des SBOM
Les nomenclatures logicielles (SBOM) sont un élément essentiel de la mise en œuvre de l’initiative Secure by Design. Aux Etats-Unis, dans le cadre de la National Cybersecurity Strategy de l’administration Biden, qui comprend le Secure Software Development Framework (SSDF) du National Institute of Standards and Technology (NIST), les entreprises doivent respecter des lignes directrices visant à renforcer la position globale des Etats-Unis en matière de cybersécurité. L’une des exigences de ces lignes directrices est de générer une SBOM, qui est comme un reçu de chaque composant, bibliothèque, outil et processus que les développeurs utilisent dans le processus de développement.
Les SBOM constituent une étape essentielle pour améliorer la sécurité des produits logiciels en fournissant une visibilité sur leur composition. Les SBOM ont permis l’émergence d’une nouvelle norme de transparence et d’ouverture dans le secteur, et leur adoption ne cesse de croître. Une étude menée par Sonatype a révélé que les trois quarts des grandes entreprises aux États-Unis et au Royaume-Uni ont mis en place des SBOM depuis que l’administration Biden a publié un décret présidentiel visant à renforcer la cybersécurité en 2021. Le même rapport indique qu’environ 60 % des grandes entreprises ont déclaré qu’elles exigent désormais que les entreprises avec lesquelles elles travaillent aient mis en place une SBOM.
Investissement dans la formation à la sécurité et dans du personnel dédié à la cybersécurité
L’une des principales vulnérabilités d’une entreprise est son personnel. Les attaques par hameçonnage et les méthodes d’ingénierie sociale restent courantes. Les employés sont la première ligne de défense, et une culture de la sécurité est essentielle pour protéger les actifs numériques. Pour lutter contre ce phénomène, les entreprises ont investi massivement dans des programmes de sensibilisation et de formation à la cybersécurité. Le marché mondial de la formation à la sensibilisation à la sécurité devrait dépasser les 12 milliards de dollars par an d’ici 2027, contre 1,8 milliard de dollars en 2022.
L’année dernière, des progrès ont également été réalisés en ce qui concerne la croissance du personnel dédié à la cybersécurité, une étape essentielle pour que l’initiative Secure by Design se développe davantage dans le secteur. Le secteur manque de personnes expérimentées et qualifiées pour occuper les postes liés à la cybersécurité. Cependant, de plus en plus d’entreprises, d’établissements d’enseignement et d’organismes gouvernementaux adoptent des modèles qui encouragent un plus grand nombre de professionnels de la cybersécurité à entrer sur le marché. En juillet dernier, la Maison-Blanche a dévoilé une National Cyber Workforce and Education Strategy afin de répondre aux besoins immédiats et à long terme dans ce domaine. Parallèlement à cette annonce, le programme CyberCorps Scholarship for Service de la National Science Foundation des États-Unis a renouvelé le financement de sept établissements universitaires, ce qui représente plus de 24 millions de dollars sur les quatre prochaines années pour soutenir le développement d’un personnel solide dans le domaine de la cybersécurité. Ce soutien gouvernemental est complété par un nombre croissant d’entreprises de logiciels qui modifient leurs processus de recrutement dans le domaine de la cybersécurité et proposent des offres avantageuses aux professionnels de la cybersécurité.
Collaborations dans l’industrie
La communauté de la cybersécurité reconnaît de plus en plus que les menaces ne se limitent pas à une seule entreprise, mais qu’elles peuvent toucher des secteurs entiers. Par conséquent, les entreprises ont de plus en plus tendance à collaborer pour partager des informations sur les menaces. En mettant en commun nos ressources et nos connaissances, nous pouvons collectivement renforcer nos défenses.
Cet esprit de collaboration a été l’un des points forts de l’année écoulée, les entreprises privées et les pouvoirs publics s’associant pour déjouer les cybermenaces. Aux Etats-Unis, l’agence CISA exige des éditeurs de logiciels vendant leurs produits au gouvernement qu’ils attestent que leurs logiciels sont développés de manière sécurisée. Ces exigences favorisent un partage transparent et ouvert de l’information, unissant les secteurs public et privé dans un effort proactif de lutte contre les cybermenaces et de renforcement de la sécurité de l’ensemble du secteur.
Le Secure Software Development Framework du NIST (SSDF) a également été publié l’année dernière afin d’encourager la collaboration entre les entreprises. Ce cadre se veut un ensemble de pratiques fondamentales et sécurisées en matière de développement de logiciels afin d’aider les éditeurs de logiciels à réduire le nombre de vulnérabilités dans les logiciels publiés et l’impact potentiel des vulnérabilités exploitées. Ces lignes directrices marquent une étape importante en encourageant les entreprises à intégrer les principes Secure by Design dans le processus de développement des logiciels. En début d’année, SolarWinds a annoncé que son Next-Generation Build System s’alignait sur le SSDF. Le Next-Generation Build System est un élément clé de notre initiative Secure by Design lancée en 2021. Il s’appuie sur un processus de conception parallèle dans lequel le logiciel est développé dans plusieurs environnements sécurisés, dupliqués et éphémères.
Des progrès significatifs malgré des défis persistants
L’année écoulée montre que nous avons sans conteste fait de grands progrès dans l’intégration de l’initiative Secure by Design. Cependant, des défis et des obstacles persistent. La transition vers une approche Secure by Design des systèmes existants, profondément ancrés dans de nombreuses entreprises, est difficile. Nombre d’entre eux présentent des vulnérabilités que les cybercriminels peuvent exploiter. En outre, le paysage des menaces évolue constamment, ce qui oblige les entreprises à rester vigilantes.
Comme les menaces continueront d’évoluer, nos défenses doivent évoluer avec elles. J’encourage les entreprises à donner la priorité aux principes Secure by Design, à investir dans les compétences et dans la technologie en matière de cybersécurité, et à adopter une approche proactive en matière de cybersécurité. La responsabilité collective de la communauté de la cybersécurité est de travailler ensemble pour construire un monde plus sécurisé. Nous sommes sur la bonne voie pour y parvenir.