Security by Design

Florian Cerny, responsable du développement, revient sur l'atelier technique Gina du printemps 2023.

Construire des applications sécurisées dans un monde en réseau est une tâche sans fin. Développer des applications selon les règles de Security by Design signifie anticiper les éventuels problèmes ultérieurs et prendre en compte les mécanismes de sécurité dès la phase de développement. Security by Design, c'est un peu comme lutter contre le crime avant qu'il ne se produise.

Que signifie Security by Design pour le développement ?

Security by Design marque le quotidien, par des formations spécifiques, une méthodologie de développement, une méthodologie de test et une documentation. C'est le principe de référence pour la gestion du support et des versions. Security by Design déclenche des mesures concrètes qui s'orientent vers les directives du SIPD et la liste Top Ten de l'OWASP (voir ci-dessous). Security by Design favorise une attitude sensibilisée à la sécurité tout au long du processus de production.

Atelier technique Gina

Chaque année en avril, les nouveautés techniques et l'état actuel des mesures relatives à la sécurité sont présentés et discutés avec les responsables de Gina. Dans l'esprit d'un rapport d'atelier, le responsable du développement Florian Cerny se laisse regarder par-dessus l'épaule et donne un aperçu des différents aspects de la sécurité dans le développement. Cette année, le thème principal était la gestion de la complexité, en quoi la complexité est décomposée et quels niveaux d'abstraction sont utilisés pour maîtriser la complexité dans le but de garantir la capacité de release du produit Gina. Les thèmes principaux des dernières années ont été le testing (2020), les outils de développement utilisés (2021) et le concept de sécurité avec ses champs d'action (2022). L'échange ouvert renforce la confiance mutuelle et contribue à aiguiser l'attention sur les thèmes de la sécurité, chez le client comme chez le fournisseur.

Maîtriser les coûts

La sécurité dès la conception permet de prendre en compte les exigences de sécurité dès la phase de développement d'un produit afin d'éviter toute faille de sécurité ultérieure. Comme il n'est jamais possible d'y parvenir totalement, les mécanismes permettant d'éliminer rapidement les failles de sécurité restent importants. Toutefois, grâce à la Security by Design, le nombre de failles de sécurité qui apparaissent sur le terrain peut être maintenu à un niveau bas. La sécurité a toujours un coût, mais avec les principes de Security by Design, les mesures sont plus prévisibles, ce qui ménage les nerfs et le porte-monnaie.

Conditions générales CSI 2020

La sécurité des applications n'est pas un souhait, mais une obligation contractuelle selon les conditions générales de la Conférence suisse sur l'informatique, en bref les CG CSI 2020. Il convient de souligner le point 13.7 "Le prestataire est tenu de prendre les mesures techniques et organisationnelles nécessaires pour garantir la protection des données et la sécurité de l'information, ..." ainsi que le point 13.9 qui oblige le prestataire à assister le bénéficiaire de la prestation dans le contrôle de l'application et des mesures prises.

SIPD

SIPD signifie "sécurité de l'information et protection des données" et décrit les prescriptions relatives à la procédure de sécurité et aux moyens auxiliaires correspondants. Au niveau fédéral, c'est le délégué fédéral de la cybersécurité qui édicte les directives ; au niveau cantonal, ce sont les services concernés. Le concept SIPD et les mesures SIPD sont deux résultats de la gestion de projet selon HERMES. Le concept SIPD est considéré comme le document principal de la sécurité, de l'information et de la protection des données dans le projet et pendant l'exploitation.

OWASP®

L'Open Web Application Security Project ® (OWASP) est une fondation à but non lucratif. Elle s'efforce d'améliorer la sécurité des logiciels (owasp.org). L'un des résultats de la fondation est le Top 10 OWASP, qui répertorie les 10 principaux risques de sécurité pour les applications web et décrit également comment réduire les risques. L'OWASP Top 10 est devenu un document de référence pour les développeurs d'applications web du monde entier. Le GLAUX GROUP s'engage financièrement dans la fondation.

Voir aussi https://www.glauxgroup.ch/news/security-by-design-gina