jeu, 10/09/2020 - 16:24
Il y a encore quelques années, les tests fonctionnels étaient considérés comme l’ultime étape avant le déploiement logiciel. Tout défaut majeur constaté à cette étape devait être signalé, et déclenchait nécessairement un nouveau cycle complet de développement. Ce qui impliquait souvent un retard de plusieurs semaines voire plusieurs mois pour la mise en production
De la même manière, une prise en compte inappropriée de la sécurité engendre le même phénomène : si elle n’est envisagée que comme la dernière étape du cycle de développement, les vulnérabilités découvertes juste avant la publication du code prennent beaucoup plus de temps et sont plus coûteuses à corriger. Avec l'évolution vers le développement logiciel agile et les pratiques DevOps, il est plus important que jamais d’intégrer les tests de sécurité au sein du processus, plutôt que de l’envisager comme ultime étape avant publication.
Aujourd'hui, de nombreuses entreprises mettent en œuvre les pratiques DevOps pour en réaliser les promesses. L'amélioration de la fréquence de déploiement équivaut à un meilleur “time to market”, à un taux d'échec plus faible des nouvelles versions et à des incidents de sécurité moins nombreux. Lorsque l’on réfléchit à l'avenir des pratiques DevOps, il est difficile de ne pas penser aussi aux concepts de flux, de feedback et d'apprentissage continu - les trois principes de base qui permettent de passer du Waterfall à l’Agile. Les flux de développement, les boucles de rétroaction et les itérations améliorent, en même temps que les logiciels, les connaissances et le savoir-faire, au bénéfice non seulement d’une organisation mais de tout un écosystème.
Identifier les vulnérabilités avant les cybercriminels
La sécurité est un processus continu. Même avec de multiples solutions et des équipes de sécurité travaillant 24 heures sur 24 pour protéger vos systèmes informatiques, il n'y a aucune garantie que vous ne serez pas piraté. En effet, il y a toujours des failles qui sont négligées ou des attaques de type "zero day" susceptibles d'être exploitées. Il faut se rendre à l’évidence : les vulnérabilités existent et les pirates les recherchent. Il est donc préférable d’agir avant que des acteurs malveillants identifient les failles et les exploitent.
Shopify, plateforme mondiale de e-commerce, a très vite compris l'impact que les hackers éthiques pouvaient avoir sur le renforcement de la sécurité. Ce qui a commencé en 2013 comme un programme de bug bounty géré en interne, avec une équipe de sécurité composée d'une seule personne, est maintenant un programme public à part entière avec une équipe Trust and Security de plus de 100 personnes. En cinq ans seulement, le programme Shopify a versé plus d'un million de dollars en primes et a résolu plus de 1 150 vulnérabilités grâce aux hackers. En travaillant avec cette communauté d’experts, Shopify a trouvé le meilleur moyen de tester en continu la sécurité et d’aller bien au-delà de ce qu'une équipe de sécurité interne seule aurait pu accomplir ; et cette couverture s'étend jusqu’à l'ingénierie et le développement, ajoutant un autre "garde-fou" couvrant l’ensemble du cycle de vie du développement logiciel.
La sécurité ne peut-être envisagée comme ponctuelle, elle s’inscrit dans un cycle continu. Nous savons qu'il y aura toujours des bogues qui s'immiscent dans le développement des logiciels. Au fur et à mesure que nous développons et que nous itérons, nous devons nous assurer que la sécurité fait partie intégrante de ce processus, et qu’elle ne représente en aucun cas un obstacle à l'innovation. Un programme de bug bounty s’impose comme un rouage supplémentaire de l’engrenage de la sécurité.
Dans une approche de sécurité collaborative, les hackers éthiques réutilisent volontiers le code développé pour d’autres entreprises. C’est l'ensemble de l’écosystème qui se renforce ainsi.
Renforcer son arsenal de sécurité
Chaque jour, de nouvelles variantes de logiciels malveillants, de nouveaux types de cyberattaques et de nouveaux incidents de sécurité apparaissent. Il est impossible pour les équipes de sécurité de maintenir et de valider en permanence les contrôles de sécurité. Cependant, grâce à un programme de bug bounty, elles peuvent exploiter une vaste communauté de hackers, afin d'avoir le plus d'yeux possible sur ses actifs. Cette aide précieuse permet aux équipes de sécurité d’identifier clairement les angles morts et les points faibles de leurs logiciels, applications mobiles et plateformes.
En résumé, les hackers ont un rôle clé à jouer pour que la vitesse de la sécurité suive celle des opérations de développement. Il n'y a pas de moyen plus rapide pour trouver les vulnérabilités de sécurité. Plus les vulnérabilités sont détectées rapidement, plus il est facile de les corriger. Cette approche de sécurité collaborative est en plein essor, de nombreuses organisations étant désormais convaincues du pouvoir du hacking éthique pour renforcer leur arsenal de sécurité.
A propos de l'auteur