Le gouvernement allemand reporte pour l’instant l’échange…

Les pays du G20 s’accordent sur la nécessité de taxer les…

Un « incendie criminel coordonné » arrête les trains français quelques…

Logiciels

Comment les RSSI peuvent passer de la sécurité des applications à la sécurité des produits

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Que vous l’appeliez sécurité Shift-Left, sécurité intégrée ou sécurité dès la conception, les entreprises avant-gardistes comprennent aujourd’hui qu’elles doivent prendre en compte la sécurité tout au long du cycle de vie non seulement des applications individuelles, mais aussi du produit commercial qu’elles utilisent. soutien. Pour ce faire, un nombre croissant d’entreprises font appel à des équipes de sécurité des produits et à des responsables de la sécurité des produits afin d’effectuer ce changement.

La sécurité des produits étend la portée de la sécurité des applications traditionnelles bien au-delà des tests et dans les domaines de la défense des intérêts, de la collaboration entre les groupes commerciaux, de la réflexion conceptuelle, de la modélisation des menaces, de la planification architecturale et de la véritable gestion des risques. En participant activement à chaque étape du processus de développement, l’équipe de sécurité du produit contribue à intégrer les considérations de sécurité dans la conception, l’architecture, le codage, les tests et la mise en production des logiciels, explique Chris Roeckl, directeur produit d’Appdome. Cette approche proactive constitue un cercle vertueux et minimise le risque de vulnérabilités et garantit que la sécurité fait partie intégrante du produit final.

Lorsqu’elle est bien réalisée, la sécurité des produits devient un levier important pour tenir les promesses faites par les défenseurs du DevSecOps depuis des années.

En quoi la sécurité des applications et la sécurité des produits diffèrent

Même si la sécurité des applications et la sécurité des produits partagent un objectif unique : aider une organisation à publier et à maintenir des logiciels sécurisés, le rôle que joue chaque fonction dans la réalisation de cet objectif est différent. Appsec se concentre réellement sur les tests, la validation et la chaîne d’outils, tandis que la sécurité des produits englobe les règles commerciales de l’ensemble du SDLC, y compris les parties humaines fragiles du développement logiciel, explique Michele Chubirka, défenseur de la sécurité du cloud chez Google.

De plus, tandis que l’équipe de sécurité des applications examine en profondeur chaque application individuelle qu’elle est chargée de renforcer, la sécurité des produits adopte une vision globale et de bout en bout de la sécurité de l’ensemble de la pile qui permet de servir un produit donné. La sécurité des produits est une extension de la sécurité des applications. La sécurité des applications se concentre sur la sécurisation du code et des fonctionnalités d’une seule application logicielle, explique David Lindner, RSSI chez Contrast Security. La sécurité des produits adopte une vision globale de l’ensemble du produit technologique, en tenant compte de l’environnement plus large et des vecteurs d’attaque potentiels pouvant émerger des communications entre les différents composants.

Cet environnement plus large pourrait inclure de nombreuses applications à la fois, des composants matériels et des services associés. La sécurité des produits tient compte de leur niveau de sécurité lorsqu’ils sont déployés ensemble.

Pour certaines entreprises, la sécurité des produits peut se concentrer uniquement sur les clients externes, mais d’autres considèrent même les projets internes tels que les systèmes financiers ou RH critiques comme relevant de la sécurité des produits. Quoi qu’il en soit, les perspectives en matière de sécurité des produits sont plus globales, explique Sam Rehman, RSSI chez EPAM Systems, une société mondiale de développement de logiciels. Cela implique une portée plus large, englobant les contrôles opérationnels et techniques, l’environnement global, l’identité des clients, ainsi que les mécanismes de détection et de réponse aux problèmes potentiels dans le service, dit-il.

Une façon de voir la différence est d’imaginer les applications comme des gâteaux, explique Christine Gadsby, vice-présidente de la sécurité des produits pour BlackBerry. La sécurité des applications revient à examiner un seul gâteau pour s’assurer qu’il semble sûr et exempt de contaminants avant de le servir à quelqu’un. En attendant, la sécurité des produits est le processus d’amélioration de la façon dont la boulangerie fabrique les gâteaux et des outils qu’elle utilise pour garantir que chaque gâteau est sûr et a bon goût. La sécurité des produits est davantage une approche globale : l’ensemble du processus de cuisson du début à la fin et la garantie que vous intégrez les bonnes actions et le bon processus à chaque étape pour garantir que le gâteau a exactement la bonne composition, répond aux attentes délicates et peut-être de vos clients. palette sensible et reste « fraîche » tout au long de sa durée de vie, dit-elle. En tant qu’organisation, une équipe de sécurité des produits doit prendre en compte la sécurité d’une liste complète de produits ou de systèmes et des clients qui les utilisent, qui peuvent inclure plusieurs « ingrédients » ou plusieurs gâteaux.


Pourquoi la sécurité des produits prend de l’ampleur

Le fait que la sécurité des produits ait fait son chemin dans les organigrammes des entreprises ne constitue pas un rejet des tests de sécurité des applications traditionnels, mais simplement une reconnaissance du fait que la fourniture de logiciels modernes nécessite un regard différent de celui formé au microscope des tests Appsec. Alors que les leaders technologiques ont reconnu que les applications ne fonctionnent pas en vase clos, la sécurité des produits est devenue l’équipe incontournable pour aider à combler les écarts entre les applications individuelles. Les membres de cette équipe servent également de défenseurs de la sécurité et peuvent aider à inculquer les principes fondamentaux de la sécurité dans les processus de développement reproductibles et dans l’usine logicielle qui produit tout le code.

L’émergence de la sécurité des produits est analogue à l’ajout de l’ingénierie de la fiabilité des sites au début du mouvement DevOps, explique Scott Gerlach, co-fondateur et CSO de la société de tests de sécurité API StackHawk. Les logiciels étant livrés plus rapidement, la fiabilité devait être intégrée au produit depuis sa conception jusqu’à sa livraison. Aujourd’hui, les équipes de sécurité ont généralement peu d’interactions avec les logiciels pendant le développement. Les équipes produit, quant à elles, s’engagent tout au long du cycle de vie, dit-il. L’intégration de la sécurité dans leurs compétences et son intégration depuis la création du produit jusqu’à sa sortie aboutissent à un cycle de livraison de produit plus rapide et plus sécurisé. Il s’agit de rapprocher dès le début la sécurité des produits.

Dans le même temps, la sécurité des produits ne supplante généralement pas la sécurité traditionnelle des applications. La sécurité des applications continue de jouer un rôle important dans la sécurisation des logiciels, idéalement dans un cadre de sécurité des produits bien coordonné. Il est important de noter que la sécurité des produits repose sur des pratiques de sécurité des applications pour limiter et réduire les vulnérabilités au sein de l’application, explique Rehman de l’EPAM. Sans remédier aux vulnérabilités au niveau des applications, aucune mesure de sécurité supplémentaire autour du produit ne peut garantir un niveau élevé.

La sécurité des produits joue un rôle central dans la mise en œuvre des principes de sécurité dès la conception. Il est intégralement impliqué lors de la phase de conception d’un produit ou d’un service, selon Rehman. Cette implication s’étend à la définition de politiques et de contrôles produits robustes, étroitement liés à l’architecture et aux fonctionnalités des produits.

La définition des politiques produit n’est qu’un début, car la sécurité des produits constitue un facilitateur pratique de la collaboration entre l’ingénierie et le développement, les parties prenantes de l’entreprise et les responsables de la sécurité. Les organisations utilisent fréquemment cette équipe comme agent de changement pour promouvoir la culture de sécurité toujours insaisissable que tant de gourous de la sécurité logicielle préconisent depuis des lustres.

Les équipes de sécurité des produits peuvent contribuer à créer une culture soucieuse de la sécurité dans laquelle chacun comprend et donne la priorité à la sécurité dans son travail quotidien en communiquant régulièrement les mises à jour de sécurité, les réussites et les défis, explique Gadsby. [They] élaborer des directives et des normes claires, fournir des ressources pour former les employés aux meilleures pratiques et travailler avec les équipes de développement pour intégrer la sécurité dans le cycle de vie du développement logiciel.


Bien que la sécurité des produits fasse une bonne part du travail de plaidoyer et de politique, les meilleures équipes de sécurité des produits ne se contentent pas d’imposer de lourdes exigences de sécurité sur les épaules des autres sans les soutenir. Ils devraient être là pour aider à réduire les frictions, déclare Jamie Boote, consultant principal associé en sécurité chez Synopsys Integrity Group.

Un type particulier de friction qui peut entraver la sécurité dans une organisation est la friction cognitive, c’est-à-dire l’effort mental nécessaire pour comprendre et résoudre un problème de sécurité, explique Boote. Prodsec peut réduire les frictions cognitives auxquelles sont confrontés les développeurs, architectes, ingénieurs et autres parties prenantes en proposant des formations, des exigences claires, des solutions réutilisables et des composants sécurisés dès la conception que les équipes peuvent adapter et utiliser avec un minimum d’effort.

Diriger la charge en dirigeant l’éducation et la formation de chacun en participant à la conception et au codage des aspects pertinents du produit est un élément clé du rôle de la sécurité des produits en tant qu’agent de changement de culture de sécurité, explique Rehman. Les professionnels non spécialisés dans la sécurité manquent souvent de l’instinct inhérent pour penser de manière défensive ou anticiper les perspectives des attaquants potentiels – un concept que j’appelle l’état d’esprit de vérification à chaque coin de rue, dit-il. Partager des scénarios plausibles, non pas dans le but de susciter la peur, mais pour illustrer les actions potentielles des attaquants, est essentiel pour favoriser une culture de sécurité au sein de l’organisation. Lorsque les individus comprennent les scénarios possibles et les actifs à risque, ils sont plus susceptibles d’adopter le bon état d’esprit. »

Qui est en charge de la sécurité des produits ?

Toutes ces tâches et objectifs en matière de sécurité des produits sont purement ambitieux si une organisation ne place pas les bonnes personnes dans l’équipe Prodsec et ne met pas en place une structure hiérarchique responsabilisée pour qu’elles puissent apporter avec succès le changement. Les meilleurs professionnels de la sécurité des produits doivent disposer d’un mélange décent de compétences techniques et de compétences générales qui les aideront à favoriser la collaboration ; ce n’est pas l’endroit pour ces techniciens rockstars qui n’aiment pas parler aux gens. De même, ils auront besoin d’un responsable de la sécurité ainsi que des aspects commerciaux et techniques nécessaires à la fourniture d’un produit rentable. Pour assurer une sécurité efficace des produits, il est impératif de nommer une personne possédant un solide mélange de connaissances des produits et d’une profonde expertise en matière de sécurité, explique Rehman, qui indique qu’elle sera habilitée à communiquer efficacement entre quatre domaines de parties prenantes clés : l’informatique, le bureau du RSSI, équipes de développement/DevOps, et gouvernance, risque et conformité.


Les structures hiérarchiques varient considérablement en fonction des besoins et de la culture de l’organisation. Certaines équipes de production peuvent être intégrées aux organisations d’ingénierie ou de produits si leurs organisations plus larges sont construites autour des produits. De plus, certaines équipes peuvent relever du service juridique ou de la conformité en fonction de l’exposition réglementaire ou juridique, explique Boote. Mais certains relèvent généralement toujours d’un CIO/CTO, d’un RSSI, d’un vice-président ou d’un directeur de la sécurité.

Rehman affirme que les lignes hiérarchiques directes les plus courantes sont généralement le RSSI, le CTO et le CIO. Dans les cas où l’organisation de sécurité est techniquement compétente et robuste, ma préférence va vers le reporting au RSSI, dit-il. Alternativement, le fait de rendre compte au CTO, qui supervise les stratégies technologiques, peut également constituer un lieu efficace pour un rôle de sécurité des produits. Le choix dépend en fin de compte de la dynamique et des objectifs spécifiques de l’organisation.

Pour sa part, en tant que vice-présidente de la sécurité des produits pour BlackBerry, Gadsby relève directement du RSSI. Cela garantit que les efforts de sécurité des produits sont alignés sur notre stratégie de sécurité d’entreprise et que nous mettons systématiquement en œuvre des mesures de sécurité dans tous les produits et services.

Que la sécurité des produits relève directement du RSSI ou qu’elle ait simplement une relation en ligne pointillée, tous les experts conviennent que les RSSI devraient définir la vision stratégique de la sécurité des produits que l’équipe exécute. Les RSSI façonnent et guident les équipes de sécurité des produits en définissant l’orientation stratégique des initiatives de sécurité des produits. Ils réfléchissent à la manière dont la sécurité sera intégrée dans le cycle de vie du développement des produits et l’alignent sur les objectifs globaux de l’entreprise, explique Gadsby. Les RSSI veillent également à ce que les équipes de sécurité des produits soient composées de professionnels qualifiés, capables de relever certains des défis complexes associés au développement de produits. Il existe de nombreuses collaborations avec d’autres départements pour garantir que les mesures de sécurité sont parfaitement intégrées, et ils travaillent à l’établissement de politiques, de normes et de lignes directrices en matière de sécurité.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite