Rechercher
  • La rédaction

SBD, un must devenu essentiel !

Entre les BDD (base de données), CDD (contrat à durée déterminé), LLD (location de longue durée) et autre "....D", voici le tout dernier le SBD: Security By Design


Pourquoi se poser la question?

En effet en référence à une simple analogie, quand je construis un bien immobilier, la sécurité du bâtiment est essentielle ! Qui s'amuserait à ne pas effectuer une calcul de structure et à construire sans filet ?

Ce non-sens qui confine à "l'acte criminel" va au delà de l'inconscience. Tout le monde est d'accord sur le sujet!

Alors pourquoi voit-on émerger la question de la sécurité sur une architecture informatique alors qu'elle va de soit dans le domaine du BTP ?


Ne pas confondre Safety et Security


La langue de Shakespeare a été plus précise que celle de Molière pour une fois:

les deux termes en français sont traduits par le mot "sécurité" mais la réalité exprime deux enjeux distincts, la safety c'est la notion de sécurité en tant que robustesse. Votre système informatique comme votre bâtiment doit être robuste, il n'est pas concevable qu'on passe à travers le plancher, votre ordinateur ne doit pas griller, la carte mère doit résister. L'architecture au sens de robustesse doit avoir été mise à l'épreuve dans les deux cas. Dont acte et je ne reviendrais pas dessus.


La "Security" c'est la sécurité au sens de la protection contre l'intrusion, le vandalisme, le vol, la dégradation etc...

Déclencher une caméra, une alarme, un routeur pour appeler un centrale de police ou de gardiennage privé c'est la même chose que mettre en place des protections pour éviter que des intrus rentrent dans votre système informatique et viennent vous dérober vos donner ou en bloquer l'accès ou les dupliquer pour aller les vendre aux plus offrants.


Que faire ?

La prise de conscience est tout d'abord l'élément fondamental lié à la notion même de sécurité. Elle procède d'un constat simple: qu'est ce que je fabrique (comme application) et quelles sont les données que je vais manipuler ?, quel est la place de cette application dans le cadre de mon système d'information (essentiel, stratégique, le passage nécessaire au reste des applications etc...)

En fonction de ces trois réponses, la prise en compte de la notion de sécurité n'a pas le même sens, le même degré d'importance.


A la question jusqu'où aller dans la sécurité ? La réponse est simple : elle dépend de la valeur de ce que vous voulez conserver . La banque dispose de murs blindés, de système de détection très sophistiqué, de coffre fort réputé inviolable, des systèmes à double voir triple clés de reconnaissance, des serrures digitales avec empruntes( vocale rétinienne etc...)

Est-ce raisonnable ? Si vous vous posez la question, revenez au début du paragraphe antérieur et relisez la première ligne s'il vous plait.


Il en est de même pour la sécurité logicielle, tout dépend du type de données que vous devez protéger ainsi que du domaine d'activité dans lequel vous exercez.


Quand le faire ?

Je peux poser des panneaux de blindages sur les murs de la banque, mais j'augmente le risque compromettre la robustesse des murs car je dois revoir le calcul de structure. Je peux mettre un système de caméra mais je dois enterrer les fils donc cela signifie des saignées dans les murs etc...

Un seule réponse, je conçois la sécurité en même temps que la construction. C'est le sens de la SBD.


Sécuriser mais pas restreindre, sécuriser mais pas dégrader

C'est souvent la mise en garde qu'on entend sous peine de voir votre application non utilisée. tu comprends ça devient trop contraignant et côté expérience utilisateur, il faut que cela reste convivial...

Sécuriser mais pas restreindre? Et pourquoi pas ? La question n'est pas de restreindre par principe, mais plutôt d'autoriser les accès en fonction des rôles et des responsabilités. On conçoit aisément qu'un employé de banque n'aillent pas se promener dans la chaufferie du bâtiment. Pourquoi parce que l'accès est autorisé pour les gens de la maintenance. J'ai autorisé l'accès au mainteneur mais pas à l'employé de banque. Est-ce concevable ? Oui Est-ce que cela impacte dans le travail de l'employé de banque ? Non. Résultat: je réduis les points d'entrée pour éviter les violations de sécurité. Je trace les entrées je vérifie l'autorisation du personnel entrant.

Idem dans le domaine IT, mot de passe, habilitation, reconnaissance, système de contrôle, double mot de passe, reconnaissance digitale sur les PC, Il existe même des systèmes qui lisent le déplacement de la souris lors de son utilisation pour savoir si c'est vous ou une autre personne qui utilise votre PC.

Sécuriser mais pas dégrader; cette mise en garde n'est pas logique non plus : est-ce que le fait de mettre un blindage sur vos vitres vous oblige à négliger le poids du blindage sur vos huisseries de fenêtre ? Security ne veut pas dire absence de Safety. Les deux doivent cohabiter. Le dimensionnement d'une architecture informatique (la robustesse des composants) dépend aussi de l'inviolabilité des "tuyaux" et vice versa.


Chez PRIMAFRANCE, la SDB intervient là où on ne s'y attend pas. En tant qu'intégrateur de solutions commercialisées sur le marché, le testing du produit et sa robustesse ainsi que son degré de sécurité sont des éléments essentiels dans la recommandation que nous faisons à nos clients. Pour autant nous n'intervenons pas dans la conception du produit. Mais lors de l'interfaçage avec le système d'information et à l'occasion de la réalisation de ces interfaces au moyen d'API et autres Web Services, la SDB est au coeur de notre méthodologie. Il est nécessaire de cartographier l'existant de comprendre les risques en fonction de l'outil qu'on va implémenter, nous élaborons le DAT côté applicatif sur la base de notre méthodologie SDB et une fois validé par le client, un point essentiel reste à mettre en œuvre: la déclinaison du processus fonctionnel pour structurer l'entrée dans le système et l'accès aux données.


La cybersécurité implique de la technologie, des procédures mais également des comportements car la faille est aussi humaine. Se former à la cybersécurité, c'est se donner les moyens d'appliquer les gestes qui vont dans le sens de l'exigence de sécurité: fermer la session son ordinateur et débrancher les câbles, ne pas introduire de clés USB provenant de l'extérieur sans un contrôle préalable des fichiers, ne pas ouvrir une pièce jointe si elle n'est pas connue de son destinataires ou si elle n'a pas d'intérêt compte tenu de son activité professionnelle. Disposer d'un support qui peut investiguer en cas de doute sur une pièce jointe dans le cadre d'un email reçu. Modifier les mots de passe régulièrement afin d'éviter les risques etc...


Conclusion

La responsabilité est une affaire collective, mais la sensibilité à ce sujet est essentiel dans une entreprise car on peut résister collectivement mais seul on est jamais à l'abri d'une intrusion: la science de l'accidentologie nous apprend que bien que je sois prudent au volant ça ne diminue pas le risque de me faire emboutir par un tiers. Par contre ma vigilance vis à vis de mon environnement me donnera les moyens de réduire cette incertitude.


15 vues0 commentaire

Posts récents

Voir tout