Des principes fondamentaux pour garantir un environnement numérique plus sûr au cœur du cycle de vie sécurisé du développement de produits Fortinet
Dans le monde de la cybersécurité d’aujourd’hui, qui évolue rapidement, compte tenu du nombre croissant de menaces et d’adversaires et de la pénurie de compétences en cybersécurité, les entreprises doivent travailler avec des fournisseurs qui s’approprient la gestion de la sécurité en supprimant le fardeau de l’exploitation d’une infrastructure sécurisée. Cela commence par le développement et le déploiement de solutions basées sur les principes de sécurité dès la conception et de sécurité par défaut.
Ce mois-ci, la Cybersecurity & Infrastructure Security Agency (CISA) et 17 partenaires américains et internationaux ont publié une mise à jour du produit conjoint Secure by Design, « Shifting the Balance of Cybersecurity Risk : Principles and Approaches for Secure by Design Software ». Selon la CISA, ces directives mises à jour « s’appuient sur trois principes fondamentaux : s’approprier les résultats en matière de sécurité des clients, adopter une transparence et une responsabilité radicales, et diriger par le haut ».
Pour ce faire, la base de tout cycle de vie de développement de produit sécurisé (SDLC) doit inclure les principes de sécurité dès la conception et de sécurité par défaut. Chez Fortinet, ce concept est intégré à notre politique SDLC dès les premiers stades de développement et fait partie de notre politique Fortinet SDLC et des 10 principes Fortinet associés. Nous pensons que cela devrait être le cas pour tous les fournisseurs de sécurité.
Sécurisé dès la conception
La sécurité dès la conception est une approche fondamentale de la cybersécurité qui garantit que la sécurité n’est pas appliquée après coup, mais qu’elle fait partie intégrante du processus de développement. La sécurité doit être ancrée dans l’ADN même de chaque produit, application et service. Lorsqu’un élément est sécurisé dès sa conception, il est construit en gardant à l’esprit que la sécurité doit être une fonction naturelle de la solution, et non quelque chose qui doit être ajouté plus tard.
Pourquoi la sécurité dès la conception est-elle si importante pour les fournisseurs de cybersécurité ?
En adoptant une stratégie de sécurisation dès la conception, les fournisseurs de cybersécurité s’assurent que leurs solutions sont intrinsèquement robustes, minimisant les vulnérabilités dès le départ et réduisant le besoin de correctifs et de mises à jour. Lorsque la sécurité est inhérente au processus de conception et que des techniques telles que la modélisation des menaces sont utilisées avant l’écriture d’une ligne de code, les risques de violations, de vulnérabilités et d’incidents de sécurité coûteux sont considérablement réduits.
De telles pratiques de conception sécurisées peuvent aider les fournisseurs à établir et, surtout, à maintenir la confiance de leurs clients, ce qui est essentiel dans un secteur où la confiance peut être perdue plus rapidement qu’elle ne peut être construite.
Sécurisé par défaut
Secure by default pousse l’idée de secure by design un peu plus loin. Lorsqu’un client déploie une solution de cybersécurité, celle-ci doit déjà être configurée avec les paramètres les plus sécurisés définis par défaut. Les équipes informatiques peuvent alors choisir consciemment d’assouplir des paramètres de sécurité spécifiques plutôt que d’avoir à les activer. Il s’agit de l’approche opposée à la plupart des solutions traditionnelles, qui ont été basées sur la facilité de déploiement des systèmes, puis sur l’obligation pour le client de trouver comment renforcer la solution, laissant souvent les systèmes critiques sans protection.
Les avantages de la sécurité par défaut pour les fournisseurs de cybersécurité
La sécurité par défaut renverse la table, ce qui fait que l’utilisateur n’a pas besoin d’être un expert en cybersécurité pour assurer sa protection. Au lieu de cela, en faisant de la sécurité la configuration par défaut, les organisations sont protégées dès le départ, sans avoir à configurer de paramètres complexes. Cela minimise le risque d’erreur humaine tout en renforçant ou en améliorant la protection et en accélérant le déploiement.
En mettant en œuvre les meilleures pratiques de sécurité dès le départ, la sécurité par défaut offre une sécurité plus conviviale, garantissant que les organisations sont bien protégées dès le départ, améliorant ainsi la satisfaction des clients.
Une nouvelle approche est nécessaire lors de la mise en œuvre de la sécurité dès la conception et de la sécurité par défaut
Avec ce nouveau paradigme en place, la configuration d’une solution de cybersécurité peut nécessiter de commencer par une mise en œuvre sécurisée par défaut, puis d’effectuer des ajustements pour les utilisateurs individuels qui ont besoin d’opérer dans la surface d’attaque en expansion.
Dans l’ensemble, ces investissements sont rentables pour les fournisseurs et les clients, car ils préviennent les problèmes de configuration qui peuvent entraîner des violations, tout en aidant à maintenir la confiance des clients et les protections sécurisées dès la conception et sécurisées par défaut.
Conclusion
Fortinet s’est engagé dans la mise en œuvre de ces objectifs depuis plusieurs années. Il est opportun et rassurant que la CISA, la NSA, le NCSC du Royaume-Uni, le CCCS du Canada, l’ASD/ACSC de l’Australie et plusieurs autres organisations aient pris la mesure cruciale de recommander de manière proactive à tous les fournisseurs d’adopter une méthodologie sécurisée dès la conception et sécurisée par défaut comme partie intégrante du cycle de vie de développement de leurs produits et services. Ces nouvelles normes guideront les fournisseurs dans leur contribution à un environnement numérique plus sûr pour tous.