Cybersécurité par conception : intégrer la protection dès la naissance du projet
Dans le monde de plus en plus numérique d’aujourd’hui, le risque de cyberattaque s’est considérablement accru, avec pour corollaire une forte augmentation de la demande d’une sécurité renforcée. Plutôt que de traiter les problèmes a posteriori avec des solutions souvent coûteuses, les experts en cybersécurité intègrent désormais plus de protection dès le début du cycle de vie des produits.
La cybersécurité par conception, c’est comme l’architecte qui dessine les plans d’un bâtiment : les principales mesures de sécurité sont intégrées dès le départ. Les besoins peuvent varier – une bijouterie nécessite en principe plus d’alarmes et de portes blindées qu’un immeuble d’habitation – ou évoluer au fil du temps, mais le but est le même : une protection à la hauteur du niveau de risque perçu.
« Il existe une forte analogie entre la cybersécurité et la sécurité, à savoir la protection des équipements et des personnes contre les dommages accidentels », déclare Alexandre Bouteille, Directeur technique pour l’activité Systèmes d’Information Critiques et de Cybersécurité chez Thales. « Si le risque zéro n’existe pas, dans le monde numérique comme dans le secteur des systèmes critiques de sécurité, il est essentiel d’effectuer une analyse des risques et impératif d’intégrer la sécurité dès le début du projet. Faute de quoi, on va au-devant de graves problèmes. »
En cas d’attaque, les mesures de cybersécurité qui n’ont pas été intégrées lors de la conception peuvent en fin de compte coûter 10 à 15 fois plus cher, sans parler des atteintes à la réputation que ces incidents peuvent engendrer.
Une approche graduelle et proportionnée
Alexandre Bouteille plaide pour une approche « graduelle et proportionnée » de la cybersécurité, inspirée des pratiques en vigueur dans des domaines comme l’aéronautique et l’énergie nucléaire, où les mesures de protection sont dimensionnées en fonction de la gravité des conséquences et du degré de probabilité des incidents.
L’enjeu est considérable, car dans un monde hyperconnecté qui change de plus en plus vite, la cybersécurité est une condition majeure du succès de la « transformation digitale ». Ce n’est pas simplement l’affaire des banques ou du secteur de la défense : tous les secteurs, notamment la santé et l’e-commerce, cherchent à protéger leurs données et leurs ressources numériques. Et ce besoin devrait encore croître avec le développement des objets connectés (Internet of Things ou IoT) qui va s’accompagner d’une forte hausse de la demande de sécurisation.
« Pour s’introduire dans un système, les cyberattaquants exploitent souvent le comportement inattendu ou non spécifié des logiciels. C’est pourquoi l’un des objectifs du développement sécurisé est de faire en sorte que les programmes se comportent exactement et uniquement comme prévu », explique Alexandre Bouteille.
« Pas de transformation digitale sans confiance. Pas de confiance sans cybersécurité », ajoute-t-il.
Une des caractéristiques de la cybersécurité est la nécessité de maintenir le niveau de protection dans le temps. « Sachant que de nouvelles vulnérabilités peuvent apparaître au cours du cycle de vie du logiciel, l’une des premières exigences est d’intégrer des possibilités de mise à jour sécurisées et simples. D’autre part, l’intelligence artificielle est de plus en plus utilisée pour détecter les comportements anormaux et signaler les anomalies comme étant des attaques possibles », constate Alexandre Bouteille.
Thales est bien placé pour concevoir des systèmes répondant précisément aux besoins et aux exigences des clients, en particulier depuis l’acquisition de Gemalto, souligne Alexandre Bouteille. « Nous avons la capacité de proposer des solutions qui comprennent parfaitement les besoins de nos clients et apportent une réponse personnalisée et adaptée. »
Pour en savoir plus, téléchargez notre livre blanc : cybersecurity by design, an operational approach based on Thales's experience (version anglaise)