Les concepteurs de logiciels américains sont confrontés aux défis de la « sécurité dès la conception »
CIODive commente les implications pour l’industrie des logiciels du vaste ensemble de directives proposées par la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et la National Security Agency en collaboration avec les principales autorités internationales de la cybersécurité. Il s’agit d’objectifs très ambitieux visant à promouvoir la « sécurité dès la conception » (secure by design), une approche qui est considérée comme un facteur de changement potentiel pour la sécurité des logiciels.
Concrètement, les autorités gouvernementales recommandent aux acteurs de l’industrie mondiale du logiciel de modifier de manière substantielle leur façon de développer leurs applications afin de minimiser les failles dans le code. Il serait question, par exemple, de faire de l’authentification multifacteur une fonctionnalité de sécurité par défaut, à laquelle devraient s’ajouter d’autres mesures pour réduire le risque d’attaques malveillantes.
Certaines entreprises ont salué l’initiative de la CISA de promouvoir des pratiques de sécurité dès la conception. La Software Alliance, par exemple, par l’intermédiaire de son directeur des politiques, souligne son adhésion à ces directives, soulignant au passage le rôle incontournable qui revient aux hauts dirigeants dans leur promotion et leur adoption pour enrayer les cyberrisques. Même son de cloche de la part de Google, qui souligne la responsabilité des entreprises dans la conception de logiciels sécuritaires.
Cependant, la proposition de ces directives a suscité un débat vigoureux parmi les chefs de file de l’industrie du logiciel, qui évaluent les coûts et les avantages réels associés à l’initiative de la CISA. On constate, en effet, que celle-ci pourrait nécessiter des investissements substantiels et même des changements culturels non négligeables.
Bref, les joueurs de l’industrie du logiciel touchés par les nouvelles directives reconnaissent la pertinence de créer des logiciels plus fiables. Toutefois, ils indiquent qu’il faudra investir beaucoup de ressources – en temps, en argent et en expertise – pour apporter les améliorations demandées. Dans ce contexte, cette industrie craint une perte en matière d’innovation, de fidélité des clients et, finalement, de rentabilité.
Par exemple, certains experts jugent encombrante l’application des principes de la CISA dans le code des logiciels qui évoluent dans des systèmes ouverts et interconnectés, comme c’est le cas de l’infonuagique. Ceux-ci sont exposés à toute sorte d’interactions imprévues et donc, vulnérables. Il faut considérer également l’inquiétude suscitée par la portée des implications financières.
En effet, la CISA favorise l’intégration de normes de sécurité très élevées au moment de la conception des logiciels pour faire en sorte que les clients n’aient pas à apporter des modifications importantes à la configuration des produits ultérieurement. Cela veut dire que les clients n’auraient pas à payer pour profiter d’une norme de sécurité optimale, car toutes les couches de sécurité supplémentaires seraient incluses dans les produits avant leur expédition.
CIODive commente les implications pour l’industrie des logiciels du vaste ensemble de directives proposées par la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et la National Security Agency en collaboration avec les principales autorités internationales de la cybersécurité. Il s’agit d’objectifs très ambitieux visant à promouvoir la « sécurité dès la conception » (secure by design), une approche qui est considérée comme un facteur de changement potentiel pour la sécurité des logiciels.
Concrètement, les autorités gouvernementales recommandent aux acteurs de l’industrie mondiale du logiciel de modifier de manière substantielle leur façon de développer leurs applications afin de minimiser les failles dans le code. Il serait question, par exemple, de faire de l’authentification multifacteur une fonctionnalité de sécurité par défaut, à laquelle devraient s’ajouter d’autres mesures pour réduire le risque d’attaques malveillantes.
Certaines entreprises ont salué l’initiative de la CISA de promouvoir des pratiques de sécurité dès la conception. La Software Alliance, par exemple, par l’intermédiaire de son directeur des politiques, souligne son adhésion à ces directives, soulignant au passage le rôle incontournable qui revient aux hauts dirigeants dans leur promotion et leur adoption pour enrayer les cyberrisques. Même son de cloche de la part de Google, qui souligne la responsabilité des entreprises dans la conception de logiciels sécuritaires.
Cependant, la proposition de ces directives a suscité un débat vigoureux parmi les chefs de file de l’industrie du logiciel, qui évaluent les coûts et les avantages réels associés à l’initiative de la CISA. On constate, en effet, que celle-ci pourrait nécessiter des investissements substantiels et même des changements culturels non négligeables.
Bref, les joueurs de l’industrie du logiciel touchés par les nouvelles directives reconnaissent la pertinence de créer des logiciels plus fiables. Toutefois, ils indiquent qu’il faudra investir beaucoup de ressources – en temps, en argent et en expertise – pour apporter les améliorations demandées. Dans ce contexte, cette industrie craint une perte en matière d’innovation, de fidélité des clients et, finalement, de rentabilité.
Par exemple, certains experts jugent encombrante l’application des principes de la CISA dans le code des logiciels qui évoluent dans des systèmes ouverts et interconnectés, comme c’est le cas de l’infonuagique. Ceux-ci sont exposés à toute sorte d’interactions imprévues et donc, vulnérables. Il faut considérer également l’inquiétude suscitée par la portée des implications financières.
En effet, la CISA favorise l’intégration de normes de sécurité très élevées au moment de la conception des logiciels pour faire en sorte que les clients n’aient pas à apporter des modifications importantes à la configuration des produits ultérieurement. Cela veut dire que les clients n’auraient pas à payer pour profiter d’une norme de sécurité optimale, car toutes les couches de sécurité supplémentaires seraient incluses dans les produits avant leur expédition.