Dans l’ensemble des projets informatiques, indépendamment de leurs domaines d’application, certains thèmes sont récurrents : la manipulation de données sensibles, l’existence d’exigences précises en matière d’archivage, de traçabilité, de performances, de disponibilités, etc. Pour répondre à ces différentes contraintes, il est nécessaire d’introduire l’identification des besoins en sécurité dès le début des projets informatiques. Ainsi, il est possible d’adapter la méthodologie pour que des mesures de sécurité appropriées soient mises en œuvre.
Intégrer la gestion des risques dans les projets informatiques
La gestion des risques informatiques consiste à analyser les différentes menaces possibles, trouver les éventuelles vulnérabilités du projet et les risques qui pourraient en découler. Ainsi, lorsque les failles sont identifiées avant l’achèvement du projet, il est possible de les prévenir ou d’élaborer des traitements rapides et efficaces. Cette approche est plus utile que de se concentrer sur les corrections des failles a posteriori.
Lors du démarrage de tout projet, une réunion va rassembler le responsable et son équipe mais aussi des experts en informatique, capables d’anticiper les faiblesses d’une application. Tout comme la gestion des autres types de dangers, celle des risques informatiques se déroule en plusieurs phases :
- identification et recensement des risques ;
- classement des risques selon leur importance et estimation de leur probabilité de survenir ;
- évaluation des impacts financiers, juridiques, en termes de productivité, d’image de marque etc. lors de la survenue de chacun des dangers ;
- définition de solutions de prévention ou de plans d’actions pour les traiter ;
- détermination du budget associé à chaque action ;
- choix des KPI (Key Performance Indicators, indicateurs de performance clés) permettant de suivre l’évolution des risques et des actions correctives ou préventives.
Définir une charte de cybersécurité et la faire appliquer
Les bonnes pratiques à généraliser
Les fuites d’informations confidentielles lors de projets informatiques surviennent parfois à cause du manque de vigilance des participants, qu’il s’agisse de collaborateurs, de prestataires ou de fournisseurs. Sensibiliser tous les intervenants aux comportements responsables est donc indispensable. Cela passe notamment par une formalisation des bonnes pratiques dans une charte à communiquer et à faire signer, après lecture, aux personnes concernées.
Parmi les points importants à mettre en œuvre, il y a notamment :
- la systématisation des mises à jour officielles des différents logiciels de l’entreprise ;
- la sécurisation des appareils mobiles (ordinateurs portables, tablettes, Smartphones) ;
- l’utilisation des équipements informatiques professionnels exclusivement pour les tâches relatives au travail ;
- la création de mots de passe complexes et leur renouvellement régulier ;
- l’interdiction de communiquer les mots de passe et les identifiants à quiconque ;
- la non ouverture de tout courriel provenant d’un expéditeur inconnu (sans jamais non plus cliquer sur une pièce jointe ou un lien).
Comment faire respecter ces bonnes pratiques ?
Même si la charte de cybersécurité est définie et signée par les collaborateurs, il est important de veiller à son application au quotidien. Afin de montrer la pleine utilité de ces bonnes pratiques, des actions de sensibilisation peuvent être menées pour prouver combien tout projet est vulnérable face à la cybercriminalité ainsi que tous les types d’attaques informatiques. Des rappels réguliers concernant les erreurs à éviter sont souvent nécessaires. Il ne faut pas non plus oublier de former systématiquement les nouveaux arrivants. Pour s’assurer que les bonnes pratiques sont appliquées dans la durée, des audits internes sont utiles.
Des outils sécurisés pour la gestion des projets
La gestion de projets demande souvent d’utiliser différents logiciels et applications pour réaliser, modifier et échanger des informations, des documents, des rapports, etc. Il faut s’assurer que ces systèmes sont sécurisés, si possible avec des cryptages de données. Une attention particulière doit être prêtée à la manière dont sont hébergées les données du projet (en interne ou en externe), afin de garantir leur intégrité.
L’approche DevSecOps
Comment définir l’approche DevSecOps ?
Contraction des mots Development, Security et Operations, l’approche DevSecOps combine les méthodes flexibles (comme SCRUM, RAD Rapid Application Development, etc.) et l’approche DevOps afin d’intégrer la sécurisation des données dès le début d’un projet informatique. L’objectif est de permettre la détection et la correction rapide des anomalies. Avec l’approche DevSecOps, l’intégrité des informations est une condition impérative avant même de débuter le projet.
La mise en place de la sécurité dans tous les environnements et à chaque niveau
Tout comme la pratique DevOps automatise les déploiements applicatifs, l’approche DevSecOps automatise les tests de sécurité. Ces vérifications vont s’appliquer aux différents environnements : développement, démonstration, test et pré-production. Des outils automatiques surveillent en temps réel les résultats des tests. Il est essentiel d’intégrer la sécurité au cœur du DevOps (DEvSecOps) pour la mettre en amont des cycles de décision et de conception. Ainsi, les possibles failles sont détectées au bon moment et corrigées rapidement.
Cette méthode facilite la prise de décision et permet de mettre en œuvre des actions rapides afin d’éliminer les écarts concernant l’intégrité des données. Cela sert à obtenir un produit final plus sûr.
La sensibilisation des collaborateurs à l’importance de la sécurité
Une implémentation réussie de l’approche DevSecOps demande une coopération étroite et l’établissement de liens de confiance entre les différents participants : service informatique, développeurs, équipes opérationnelles, intervenants extérieurs, etc. La culture de la sécurité se met en place progressivement, grâce à des sessions de formation et de sensibilisation généralement gérées par la Direction des services d’information (DSI).
L’utilité des outils d’automatisation
Différents équipements permettent de mettre en place l’approche DevSecOps. Par exemple, le scanner de vulnérabilité analyse automatiquement les applications Web. Il peut s’agir notamment détecter des scripts intersites, des codes malveillants, des attaques « Man-in-the-middle (MITM), des injections SQL, etc. Il existe aussi des outils de réalisation automatique de tests ou encore des systèmes générant des tests d’intrusion (pentests).
La Security by design
L’approche Security by Design (ou Secure by Design) consiste à intégrer, dès la conception et pendant tout le cycle de vie d’un produit, les deux thématiques du risque et de la sécurité. La construction de l’objet s’assure de sa solidité. Quant à sa conception, elle garantit qu’il est sûr et que la confidentialité des données qu’il contient est préservée. Toute la partie relative à la protection des données personnelles des utilisateurs du produit est parfois séparée de la Security by Design et se nomme alors la Privacy by Design. Avec la Security by Design, il n’est plus question de renforcer un produit quand une défaillance est détectée mais bien d’anticiper les risques.
Cette manière de procéder est particulièrement adaptée aux objets connectés qui récoltent et envoient vers le Cloud un grand nombre de données. La Security by Design est aussi transposée pour la création de logiciels et de systèmes, informatiques ou non.