La nouvelle arme digitale anti-cybercriminalité

- Publié 15/09/2021 - 12:07, mis à jour à 29/09/2021 - 11:08 Agile

Il est devenu impensable de développer un nouveau site web sans faire de la sécurité la priorité n°1 dès le départ. Et il est de même devenu impossible de repenser un écosystème digital sans donner une importance centrale à ce paramètre. Ce serait ignorer que les dommages créés par la cybercriminalité se comptent désormais en milliers de milliards par an au niveau mondial.

Failles fatales

La multiplication par deux des chiffres de 2015 s'explique principalement par l'explosion soudaine des cyberattaques au cours du mois de mars 2020. La cybercriminalité a alors connu une montée en flèche ahurissante de plus de 600% . Ce cyclone digital est principalement dû au recours massif à des smartphones, tablettes et autres ordinateurs personnels insuffisamment protégés qu'a imposé dans l'urgence le télétravail. Les leçons de ce passé récent ont été tirées. Il existe aujourd'hui une nouvelle arme digitale défensive contre la cybercriminalité. Elle s'appelle DevSecOps.

 

Aux sources du mal

De simple interaction en simple interaction, les objets connectés vulnérables utilisés par des collaborateurs travaillant chez eux ou extra muros ont ouvert des brèches aux pirates dans les systèmes d'information de milliers d'entreprises non préparées à affronter un effet domino aussi dévastateur. Sont aussi en cause naturellement certaines applis gratuites si tentantes. La sécurité ne coule pas toujours d'open source.

La seule parade à ce genre d'effets pervers réside dans une anticipation des risques par intégration des principes de sécurité et procédures de contrôle le plus en amont possible. Ce qui justifie la cote actuelle de l'approche DevSecOps.

 

Sécurité intégrée

Qu'est-ce que le DevSecOps ? Dans cette contraction de Développment-Security et Operation, le mot Security est central pour signifier combien la sécurité est, elle aussi, centrale dans cette nouvelle approche du digital. Le DevSecOps constitue la réponse concrète la plus notable à la montée de la cybercriminalité.

Le succès que connaît aujourd'hui cette nouvelle vision de la cybersécurité mérite un arrêt sur image, vu l'importance des valeurs et sommes en jeu. Cette évolution de la mythique approche DevOps permet, en deux mots, d'intégrer les impératifs de sécurité à tous les niveaux des écosystèmes d'entreprise dès leur création.

 

Nouvelle résilience

Un constat s'impose : plus tard on découvre une faille plus il est lourd et onéreux d'y remédier. C'est pourquoi cette réaction de l'expertise digitale à la montée de la cybercriminalité qu'est le DevSecOps tend à s'imposer comme vision gagnante à adopter pour concevoir les écosystèmes de demain. Aussi bien que pour repenser ceux d'aujourd'hui en intégrant les nouvelles réalités de notre époque au cœur de l'existant. Sur le plan humain, le DevSecOps ne saurait fonctionner sans une collaboration complice entre spécialistes du digital et de la sécurité. Mais les ennemis de mes ennemis devraient vite être mes amis.

 

Experts wanted

Il était impossible de prévoir combien le besoin d'experts en cybersécurité allait devenir criant en 2021. Les meilleurs sont de véritables profilers qui considèrent les cybercriminels non pas comme des prédateurs mais comme des proies. À leur image, des « champions de la cybersécurité » commencent à apparaître en entreprise. Ils ne sont pas encore légion. Et les embauches sont difficiles à moins d'exfiltrer de leur nid doré les talents français monopolisés par les laboratoires parisiens de GAFAM.

Charge donc aux ressources internes de monter en première ligne ensemble. Car comment vos développeurs et développeuses sauraient-ils prévoir dès le stade du code des parades à des cyberattaques dont ils ignorent totalement quelle forme elles peuvent prendre ? Et, symétriquement, tous les membres de toutes les équipes Sécurité savent-ils ce qui peut être encodé ou non ?

 

Speed by step

Les conditions du dialogue demandent à être créées. Les cultures des deux publics sont au départ aux antipodes. Des décodeurs s'imposent. L'approche DevSecOps apprend à gérer avec naturel les modalités de ces rapprochements nouveaux. Positionné à tous les niveaux des écosystèmes digitaux, le DevSecOps consacre dans les faits une méthode parmi toutes en phase de développement comme de déploiement : la méthode agile. Avec, comme passerelle entre les deux univers, une systématisation optimisée des procédures de contrôle dans le cadre de tests d'assurance qualité.

L'avancée en mode agile s'effectue en effet étape par étape, en donnant aux fonctions les plus stratégiques la priorité dans l'ordre de mise en œuvre. Le reste suit d'autant plus facilement. Et donc plus rapidement.

 

Cercle vertueux

En approche agile, une machine implacable s'enclenche par le jeu de l'automatisation pour atteindre très vite un cercle vertueux en mouvement perpétuel. En éliminant les failles et défauts de sécurité dans son avancée. Tout au long du process, des contrôles itératifs sont effectués automatiquement à chaque stade. Y satisfaire avec succès est un prérequis pour pouvoir passer à la phase de déploiement suivante. Le recours à des scanners de vulnérabilité est ainsi multiplié et renforcé en termes de pertinence. Automatiquement.

80% des entreprises sondées tout récemment par le Securiry Compass se sont déclarées persuadées de pouvoir tirer un bénéfice certain en termes de sécurité de l'automatisation de certaines tâches. En même temps qu'une assurance de qualité sans cesse réactualisée, affirmée et affinée. Elles sont actuellement 28% à avoir convertis leurs pensées en actes. Elles y viendront. Les chiffres parleront.

 

Avance reprise

Jusqu'ici, il n'était déjà pas très rationnel d'attendre qu'un nouveau site soit entièrement développé pour commencer à tout déployer sans que rien ne puisse être exploité ni même testé avant des mois. Dans le nouveau contexte actuel où la sécurité se fait omniprésente, une telle lourdeur léthargique est devenue purement et simplement inenvisageable. La cybercriminalité ne garde pas la pose pendant ce temps.

La méthode agile s'éloigne de ce fonctionnement en cascade. Elle ne relève en rien d'un tel marathon. Elle est entièrement faite d'une succession calculée de « sprints ». Chacun de ces sprints a pour objectif d'apporter en temps réel des compléments, des améliorations et des corrections au système. Tout est pensé et repensé. Testé et approuvé. La sécurité augmente avec l'avancée. Et ce bénéfice ne s'arrête pas avec la mise en place de derniers livrables.

 

Actency-cybersecurite-blog-gestion-securite-agile

 

« Shift left »

Cet alliage unique de souplesse et de rigueur fait de la méthode agile le levier privilégié pour déployer procédures, réflexes, schèmes et culture de la cybersécurité dans l'entreprise à un moment éminemment stratégique. C'est là un autre point de convergence avec la vision DevSecOps dont la spécificité apparaît dès lors comme relevant d'être d'une orientation première sur la dimension humaine. Avec pour but partagé de promouvoir une pensée centrée sur la sécurité dans le quotidien des développeurs.

On retrouve en mode agile la même logique dite du « shift left » pour signifier que l'on gagne à remonter le plus vers l'amont possible. À gauche dans le temps ! C'est pourquoi la méthode agile apparaît aujourd'hui comme la plus logique à adopter. Et c'est aussi pourquoi elle est structurellement la plus rapide à déployer.

 

L'heure du réveil

Il faut faire vite. L'écart entre ces constats et la réalité du terrain permet de prendre la mesure du retard à rattraper sur une cybercriminalité industrialisée dont les troupes n'ont besoin d'aucun challenge de motivation. Asap. 25% seulement des entreprises prennent précaution de base d'intégrer le concept de sécurité dans leurs réflexions digitales si l'on se réfère à la récente étude sur la cybersécurité du Securiry Compass. Mais 79% d'entre elles ont fait de la sécurité leur préoccupation n°1 de 2021. Pourtant 31% seulement ont fait contrôler ne serait-ce que 50% de leur parc informatique. Ce qui n'est évidemment pas un début de solution. Alors même que 80% des entreprises ont dû procéder à des aménagements parfois significatifs pour s'adapter au COVID 19. Afin de sécuriser, notamment, leur chaîne logistique.

 

Réagir

La passivité n'est pas dans l'ADN des entrepreneurs. C'est pourquoi nombre d'entreprises françaises comme mondiales passent aujourd'hui résolument à l'ère du DevSecOps. Traduisez : en mode de développement et de déploiement d'applications conçues dès le départ en termes de sécurité. Vu le changement de donne, il était impératif que les experts du monde digital se sentent investis du devoir de ré-imaginer les process mêmes du développement des applications.

Ce grand ménage a également permis de valider les outils et méthodes qui avaient une longueur d'avance. Comme la méthode agile, Tant mieux. Car 40% des entreprises interrogées par Securiry Compass ne sont pas chaudes pour initier une démarche visant à intégrer la sécurité au cœur de leur système. Ce process est jugé trop chronophage. Difficile de faire plus vite qu'en mode agile !

 

Failles chiffrées

Certaines prises de conscience tardent encore. L'enjeu en vaut pourtant la peine. Pas moins de 150 000 failles de sécurité en entreprises ont été recensées en 2020 aux États-Unis. Seule l'inculture en matière de cybersécurité de nombre d'entreprises françaises interdit encore de disposer pour 2021 d'un aperçu réel des failles et défauts de sécurité dans l'Hexagone. Les initiatives étatiques visant à remédier d'urgence à cet état de faits devraient conduire à court terme à une remise à niveau par certifications générales des entreprises de l'Hexagone, pensée comme salutaire et incontournable. Il n'est pas rare en effet qu'une entreprise touchée par le piratage poursuive ses activités sans même signaler l'attaque dont elle a été victime.

 

Agilité sérénissime

Beaucoup d'entreprises ciblées par la cybercriminalité ne prennent aucune mesure pour éviter de telles violations de souveraineté à l'avenir. Quitte à exposer les données qui leur sont confiées comme les systèmes avec lesquels elles communiquent. Il faut agir vite. L'urgence est manifeste. Difficile de continuer de faire comme si de rien n'était. L'un des grands avantages d'une approche permettant de gagner des semaines et des mois, est précisément de s'offrir le luxe d'éviter la hâte et le stress. Ce sont des facteurs d'erreurs à un moment où doit régner au contraire une concentration extrême. On réussit d'autant mieux à maintenir un tempo élevé. Moralité : Dans une approche DevSecOps, agile est la méthode speed la plus cool. Et à plus cool des méthodes speed face à la cybercriminalité.

Partagez toute l'actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien
Image
Actency - Réassurance  - 7 Agences et Bureaux en France
7 Agences & Bureaux
en France
150 Experts
Image
Actency - Réassurance  - 150 experts
+1 200 Projets
Image
Actency - Réassurance - Contributeur et conférencier Drupal en Europe
Contributeur Et conférencier Drupal en Europe
11 500 Jours/hommes par an
Image
Actency - Réassurance - 11500 jours hommes par an

Découvrir plus de workshop technologiques

Nous contribuons aux évolutions et aux conférences Drupal en Europe
Image
Actency - Drupal - DrupalCon
Image
Actency - Événements - Paris OpenSource Summit
Image
Actency - Événements - IT & IT Security Meetings
Image
Actency - Événements - DrupalCamp 2020