Dans l'univers de la cybersécurité, le « Secure by Design » est devenu une philosophie essentielle pour garantir qu'une sécurité robuste soit au cœur de chaque étape du développement des logiciels. La sécurité est intégrée en tant qu'élément fondateur d'un produit et non comme une couche supplémentaire, une fois le produit terminé. Les stratégies et les meilleures pratiques de sécurité sont intégrées et testées à chaque étape pour garantir que les systèmes minimisent les vulnérabilités et résistent aux attaques.
L'agence américaine de cyberdéfense CISA défend l'idée que la sécurité des clients est une exigence essentielle de l'entreprise, plutôt que de la traiter simplement comme une fonctionnalité technique.
Every technology provider must take ownership at the executive level to ensure their products are secure by design.
Le plaidoyer Secure by design recommande un certain nombre d'engagements stratégiques que les éditeurs peuvent suivre pour fournir des produits respectant des normes minimales de sécurité.
Ces engagements sont:
L'authentification multi-facteurs
La suppression des mots de passe par défaut
Le traitement des failles critiques dans le code avec des actions mesurables
L'installation des patchs de sécurité par les clients
Une politique de divulgation des vulnérabilités à destination du public (exemple celle de Renault https://www.renaultgroup.com/vulnerability-disclosure-policy /norme ISO/IEC 29147)
Un rapport des CVEs du produit pour plus de transparence
Indiquer de quelle façon les incidents sont traités par l'entreprise et les actions mises en place pour traiter les éventuels incidents

En résumé, par défaut les produits s'installent avec une configuration d'authentification unique (SSO) et à multi-facteurs (MFA), la journalisation et aucun mot de passe fourni, tout ceci disponible sans frais supplémentaires.
Vos produits sont-ils sécurisés dès leur conception ? Votre entreprise prend-elle en compte toutes les mesures pour sécuriser ses produits ?
En savoir plus:
Commentaires