Security By Design

by

Le 15 Juin 2016, CAST a organisé un workshop au tour du sujet Security By Design à l’hôtel Hilton, Paris La Défense avec des intervenants de SOLUCOM, ATOS, BNP PARIBAS CARDIF et CAST en présence d’une trentaine de participants du secteur public, finance, énergie, éditeurs de logiciels, etc.

CAST security workshop
CAST security workshop

La sécurité des applications reste un enjeu majeur à la fois en termes de fréquence, de gravité et d’impact, non seulement pour le business mais également pour le DSI lui-même. Selon l’étude PWC "le nombre de cyber-attaques recensées a progressé en 2015 de 51% en France, alors que les budgets sécurité des entreprises françaises ont augmenté en moyenne de 29%, soit autant que les pertes financières estimées imputables à ces incidents (+ 28%)". Plus particulièrement, les analystes précisent que les problèmes de sécurité sont à 75% liés à des failles d'architecture logicielle ou le « design » des applications, c'est-à-dire à la manière dont les composants et applications sont interconnectés.

Selon Matthieu Garin, Senior Manager chez SOLUCOM, les équipes sécurité sont historiquement centrées sur la protection des infrastructures ou des postes de travail et souvent très éloignées des problématiques applicatives. Le « design » de l’organisation IT autour de la sécurité est une manière de répondre au problème avec la mise en place d’une cellule SecApp transverse, regroupant différents spécialistes du domaine. Cette cellule,  garante de la sécurité applicative, doit s’approprier et structurer toutes les activités telles que la sensibilisation des développeurs, les revues de code et les tests de vulnérabilités applicatifs, qui sont aujourd’hui dispersées dans l’entreprise.

Une attention particulière doit être apportée aux applications web qui sont très exposées, selon Mouhamadou Sall, Senior Consultant & Architect chez ATOS. ATOS a développé une approche méthodique en 4 étapes pour sécuriser le design et  la réalisation de l’application tout au long de son cycle de développement: de la gouvernance et la maintenance des règles de sécurité, via le SMSI ISO 27001, du développement du code en passant par des tests statiques avec CAST et dynamiques en terminant par une analyse des incidents. M. Sall a effectué plusieurs démonstrations en accédant avec une facilité déconcertante à des applications web, pour changer des informations utilisateur et mettre en exergue les problèmes de non sanitization des données.

Arnaud GARNIER, Subject Matter Expert chez CAST, a présenté les tests statiques réalisés avec CAST. CAST contrôle le design des applications par des revues interactives et automatiques au niveau du respect de la communication entre couches applicatives. Dans la version standard de CAST, le facteur de santé « Security Health Factor » agrège les risques de sécurité, en mesurant la conformité du code source des applications et de l’architecture à plus de 250 règles quantité organisées selon 9 critères techniques. Le « Missing User Input Check » est l’une des vulnérabilités les plus dangereuses pour les applications web, et une configuration spécifique de CAST est vivement recommandée avec la fonctionnalité « User Input Security Data Flow »

Pour Samuel Godé, Responsable du service Qualité IT chez BNP PARIBAS CARDIF, le coût de correction d’une vulnérabilité augmente de manière exponentielle dans l’avancement des phases d’un projet. Le coût est multiplié par 10 en phase de recette et par 100 en production par rapport à la phase de développement, sans prendre en compte les conséquences pour l’entreprise.

Security Flaws costs evolution
Evolution des coûts d'une vulnérabilité

Grâce aux deux fonctionnalités uniques de CAST ; le module de contrôle de l’architecture applicative (Architecture Checker) et le suivi du flux de données (Security Data Flow), BNP PARIBAS CARDIF a un vrai plus pour contrôler les failles de sécurité en amont dans le cycle de développement et ainsi contribuer au « Security by design ». De plus CAST permet à BNP PARIBAS CARDIF, au travers d’un seul outil, de contrôler les autres axes de la qualité logicielle : la performance, la robustesse, la dette technique, l’évolutivité et la transférabilité, avec comme conséquence TCO beaucoup plus bas.

En conclusion « Security By Design » est une approche de l’organisation IT et du développement logiciel qui a pour objectif de construire des applications sécurisées, en minimisant les vulnérabilités très en amont du processus de développement et en limitant ainsi considérablement les risques et les coûts des corrections.

Filled in: CAST Events
Daria Sainani Digital & Marketing Operations Manager - CAST France
Marketing and Communications Leader. High Expertise in International and Regional B to B Marketing
Load more reviews
Thank you for the review! Your review must be approved first
Rating
New code

You've already submitted a review for this item

|