Pour toutes les entreprises de tous les secteurs, la concurrence est autant susceptible de provenir d'une start-up inconnue que de rivaux établis de longue date. Dans l'économie moderne, si vous n'innovez pas assez vite, vous serez écrasé par quelqu'un qui le fera. Il suffit de demander aux sociétés de radiodiffusion et de télévision par câble de Netflix. Demandez à Hilton et Marriott à propos de Airbnb. La peur de la mort peut être un puissant facteur de motivation.

Les équipes de direction reposant sur leurs lauriers, leurs normes culturelles profondément ancrées et leurs silos de longue date érigés par les équipes de développement de logiciels, de sécurité des applications et d’opérations informatiques comptent parmi les plus grands défis des entreprises en place. Les normes culturelles bien ancrées et les silos qui alimentent les frictions diminuent la vitesse et l’innovation.

C’est à cause de cette dure réalité et de la peur de la mort que de nombreuses organisations ne considèrent plus le développement de logiciels comme un coût, mais plutôt comme une compétence essentielle et un impératif stratégique qui définit l’ensemble de l’entreprise. Toutes les entreprises sont maintenant des éditeurs de logiciels. C'est également la raison pour laquelle les organisations du monde entier adoptent de plus en plus un concept appelé DevOps - où les barrières séparant les opérations informatiques des développeurs sont démolies, les pratiques inutiles éliminées et la collaboration à grande échelle récompensée. Plus les entreprises apportent rapidement de la valeur au marché, plus le marché les récompense.

La magie de l'open source

Entrez dans les pratiques de développement open source - le médicament miracle par excellence qui alimente DevOps et l'innovation logicielle moderne.

Les composants open source, ou des composants logiciels réutilisables développés par la communauté, permettent aux entreprises de gagner du temps et de l'argent, d'améliorer la qualité, de rendre leur activité plus agile et d'atténuer certains risques. Le concept n'est pas nouveau. Bien avant l'avènement de l'open source, Isaac Newton avait déclaré: "Je vois plus loin en me tenant sur les épaules de géants et je découvre la vérité en m'appuyant sur les découvertes précédentes." Cette idée est la raison principale pour laquelle les composants open source sont si attrayants pour les équipes de développement. Il en va de même pour l'utilisation croissante d'applications conteneurisées. En termes simples, l’accès libre et ouvert aux composants logiciels et aux conteneurs préexistants élimine la réinvention des roues et expose le logiciel à une communauté mondiale de “co-développeurs,” pour créer et développer.

Avec autant d'avantages - il n'est pas étonnant que 80% à 90% d'une application moderne soit composée de composants open source. Et aussi pourquoi 80 à 90% des infrastructures modernes sont conteneurisées.

Vous pourriez vous demander - quel est le piège? Bien que ces éléments jouent un rôle vital dans l’innovation et le dynamisme du monde tel que nous le connaissons, tous les éléments ne sont pas créés égaux. Notre analyse des composants open source téléchargés à partir du référentiel central (la base de données la plus importante et la plus active sur les composants open source Java) a révélé qu'en 2017, 1 composant sur 8 téléchargé par les développeurs britanniques contenait une connu faille de sécurité.

Ces vérités ne sont pas inconnues sur le marché. Heartbleed était une vulnérabilité notoire en open source. Equifax a été victime d'une violation via un composant open source vulnérable. Et selon le sondage DevSecOps Community Survey 2018 mené auprès de plus de 2 000 professionnels de l'informatique, 3 sur 10 ont soupçonné ou confirmé une infraction liée à l'open source en 2017..

Selon le même sondage, seules 6 organisations sur 10 disposent de politiques exigeant l'évaluation des composants open source à un stade donné du cycle de développement. Mais une grande partie de cette exigence reposant sur des revues manuelles fastidieuses en dehors des filières de développement, le fait est que les politiques sont souvent ignorées (46% du temps) et que les défauts continuent de se retrouver en aval des applications finies. L'open source et DevOps donnent aux entreprises le pouvoir de rester en vie et, dans de nombreux cas, de surpasser celles de leurs concurrents, mais cette innovation ne devrait pas, et ne devait pas forcément, être au détriment de leurs clients.

Le rôle de la régulation

La stratégie nationale de cybersécurité 2016-2021 du Royaume-Uni a déclaré que “Les entreprises et les organisations décident où et comment investir dans la cybersécurité en se basant sur une évaluation coûts-avantages, mais sont en dernier ressort responsables de la sécurité de leurs données et de leurs systèmes..” Cette notion de responsabilité est de plus en plus appliquée non seulement au Royaume-Uni, mais dans le monde entier, à mesure que les gouvernements élaborent des réglementations.

Par exemple, les législateurs français et le gouvernement britannique ont récemment annoncé des directives plus strictes pour les fabricants d’appareils. Le Royaume-Uni a spécifiquement exigé que la sécurité soit intégrée aux appareils intelligents dès le début et que le logiciel soit automatiquement mis à jour..

L'UE a adopté l'un des textes de réglementation les plus discutés avec le prochain règlement général sur la protection des données (RGPD). L’article 32 du RGPD stipule que les entreprises doivent “mettre en œuvre des mesures techniques et organisationnelles appropriées” à “assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et des services de traitement.” Combiné avec l'article 25, qui impose la mise en œuvre de mesures de protection des données “par conception et par défaut”, il est clair que la confidentialité et la sécurité doivent être enracinées dans chaque élément de l'infrastructure informatique. Si vous ne respectez pas ces règles et si des vulnérabilités connues finissent par aider par inadvertance les pirates informatiques à voler des données sensibles du consommateur, vous pourriez vous voir infliger une amende pouvant aller jusqu'à 20 millions d'euros, soit 4% du chiffre d'affaires annuel mondial - le plus élevé des deux..

Faisant écho aux politiques européennes, quatre sénateurs américains ont présenté un projet de loi bipartite appelé Loi sur l’amélioration de la cybersécurité de l’Internet des objets. Selon une fiche d'information publiée parallèlement à la législation, “Alors que les appareils «Internet des objets» (IoT) et les données qu'ils transmettent présentent des avantages énormes pour les consommateurs, l'insécurité relative de nombreux appareils présente d'énormes défis..” La législation demande spécifiquement aux vendeurs de vendre des appareils IoT “fournir une attestation écrite attestant que le périphérique ne contient, au moment de la soumission de la proposition, aucun composant matériel, logiciel ou micrologiciel présentant des vulnérabilités ou des défauts de sécurité connus.”

Un grand pouvoir implique de grandes responsabilités

Cette réglementation visant à protéger les consommateurs n’est pas nouvelle. Il y a cinq ans, aucun constructeur automobile ne pouvait embarquer des sacs gonflables Takata connus dans un véhicule. Les régulateurs ont introduit des lignes directrices sur l'alimentation du bétail afin de limiter la propagation de la maladie de la vache folle il y a plus de 20 ans.

L'imputation de la responsabilité sur les fabricants de périphériques et les organisations développant des logiciels garantissant la sécurité dès le début et dans le temps reflète les réglementations similaires qui orientent la sécurité des consommateurs dans d'autres industries. Cela est particulièrement important lorsque les logiciels contrôlent désormais notre santé (par exemple, les stimulateurs connectés à Internet), nos transports (par exemple, les véhicules autonomes) et nos finances (par exemple, les applications bancaires en ligne)..

Aujourd'hui, les attaques et les violations d'application sont souvent le résultat de vulnérabilités faciles à exploiter - et à corriger. Bien que nous aimions penser que les entreprises réglementeraient elles-mêmes leur hygiène en matière de cybersécurité dans notre monde axé sur les logiciels, des titres quotidiens d'infractions indiquent que les réglementations gouvernementales pourraient être un facteur de motivation nécessaire pour agir..

Si aucun autre secteur manufacturier n'est autorisé à expédier des pièces connues vulnérables ou défectueuses dans leurs produits, pourquoi les fabricants de logiciels devraient-ils être différents? Dans toute autre industrie, cela serait considéré comme une négligence grave.

Ne jamais dépasser les défauts connus en aval

Heureusement, bon nombre des problèmes liés à l'utilisation de composants logiciels vulnérables connus sont facilement résolus. Les grandes et les petites entreprises appliquent les principes et les pratiques de DevSecOps. L’un des principes les plus importants provient du leader du DevSecOps, Gene Kim, et de son roman, Phoenix Project, qui dirige, “Mettez l'accent sur les performances de l'ensemble du système et ne transmettez jamais un défaut en aval”.

Pour les entreprises qui décident de suivre cela, l'automatisation est impérative. Le nombre impressionnant d’artefacts consommés par les organisations actuelles excéderait toute tentative de les examiner manuellement pour déterminer leur état de santé. Les machines peuvent effectuer des vérifications en quelques millisecondes et les humains peuvent mettre des heures à parvenir à des conclusions similaires. Cette réalité s'apparente à la nécessité d'analyser de manière robotisée des pièces assemblées sur une chaîne de fabrication de composants électroniques à grande vitesse - les examens sur l'homme ne pourraient jamais suivre le rythme et sont sujets aux erreurs.

La question n'est pas, pouvons-nous développer un logiciel sécurisé? Nous pouvons certainement. L'économie des applications peut croître et prospérer dans des environnements réglementés et sécurisés, si elle est gérée correctement. D'un autre côté, si les entreprises décident d'ignorer la bonne hygiène en matière de cybersécurité en pensant qu'elles optent pour l'innovation, il se peut qu'elles ne soient pas que mortelles, elles seront responsables de leurs actes..

Derek Weeks, vice-président de Sonatype

  • Nous avons également mis en avant les meilleures suites de sécurité Internet