Secure by Design - Building security into software and hardware development

Secure by Design : intégrer la cybersécurité dès la conception

Nous allons vous expliquer l'importance de cette philosophie et comment elle permet de réduire la surface d'attaque interne.

Sophos Insights Products & Services Secure by Design Thought Leadership

La sécurité dès la conception (Secure by Design) est une philosophie de développement logiciel qui considère la sécurité comme une exigence fondamentale plutôt que comme une simple réflexion après coup.

Au lieu de concevoir d'abord un produit et d'y ajouter des correctifs de sécurité ultérieurement, l'approche « Secure by Design » exige que les considérations de sécurité soient intégrées à chaque étape du cycle de développement, de l'architecture et de la conception au codage, aux tests, au déploiement et à la maintenance.

L'idée au cœur de cette approche est simple : si vous concevez un système sécurisé dès sa conception, vos utilisateurs seront protégés par défaut, et pas seulement après avoir compris comment modifier les paramètres de sécurité ou bien après le traitement des failles de sécurité après-coup.

Concrètement, cela signifie adopter plusieurs principes de sécurité fondamentaux :

Le principe du moindre privilège garantit que les processus, les agents (IA ou autres), les conteneurs et les services système ne reçoivent que l'accès minimal dont ils ont besoin.
Les paramètres par défaut sécurisés garantissent que les produits soient livrés avec la configuration la plus sûre activée ‘out of the box’.
La défense en profondeur combine de multiples contrôles de sécurité afin qu'une seule défaillance ne débouche pas sur une catastrophe.

Les organisations peuvent également renforcer leur résilience en éliminant des catégories entières de vulnérabilités grâce à des langages, des frameworks et des modèles de conception plus sûrs.

Pourquoi l'approche « Secure by Design » a-t-elle été introduite ?

Pendant des décennies, de nombreux acteurs du secteur technologique ont fonctionné selon un modèle « ship fast, patch later ». L'une des conséquences de cet héritage est que la cybersécurité peut être perçue comme un simple centre de coûts, un élément qui ralentit les publications et frustre les développeurs. Les conséquences se font sentir en temps réel : révélations constantes de vulnérabilités, correctifs d’urgence déployés à la hâte et violations de données qui coûtent des milliards aux organisations tout en exposant les données personnelles de centaines de millions de personnes.

Les vulnérabilités Ivanti Connect Secure, l'exploit de Log4Shell dans une bibliothèque open-source omniprésente et les vulnérabilités de MOVEit Transfer ont toutes démontré que la sécurité réactive ne peut tout simplement pas suivre le rythme des adversaires déterminés.

Reconnaissant ce déséquilibre, la CISA (Cybersecurity and Infrastructure Security Agency) américaine, en collaboration avec des partenaires internationaux, a publié en 2023 des conseils sur la sécurité dès la conception (Secure by Design), exhortant les acteurs du secteur technologique à assumer la responsabilité des résultats de sécurité de leurs clients.

Les principes de la sécurité (Secure by Design) dès la conception affirment que la responsabilité de la sécurité devrait incomber aux éditeurs qui conçoivent les produits technologiques, et non aux utilisateurs finaux qui les déploient. Cela oblige les éditeurs à repenser la manière avec laquelle ils priorisent la vitesse et les fonctionnalités supplémentaires, et à considérer la sécurité comme une exigence de conception fondamentale plutôt que comme une simple amélioration. Ce changement amène le secteur à ne plus blâmer les utilisateurs pour leur incapacité à installer rapidement les correctifs, mais à responsabiliser les fabricants quant au développement de produits sécurisés, et ce dès le premier jour, même si cela implique de ralentir le déploiement des fonctionnalités ou de repenser les approches traditionnelles afin de réduire les risques systémiques.

Pourquoi l’approche Secure by Design est primordiale pour les solutions de cybersécurité ?

C’est un rappel pour vous rappeler que même les outils de sécurité peuvent parfois devenir le point d’entrée d’une attaque. Et pourtant, cela se produit avec une régularité alarmante.

Ce schéma met en évidence une faiblesse critique pour de nombreuses organisations : une fois qu'un dispositif périmétrique est exposé, les attaquants y reviendront sans cesse jusqu'à ce qu'il soit entièrement sécurisé. Les pare-feu et autres systèmes edge peuvent rester vulnérables même après la mise à disposition d'un correctif. Pour l'ensemble des vulnérabilités exploitées confirmées dans une analyse récente des incidents que Sophos a traités, le délai médian entre la publication d'un avis/correctif par un éditeur et l'exploitation de cette faille par un attaquant était de 322 jours, soit près d'une année complète d'opportunités pour les adversaires. Les éditeurs de solutions de cybersécurité ne peuvent pas supposer que les utilisateurs vont installer les correctifs immédiatement.

Le problème de la position privilégiée

Les outils de cybersécurité fonctionnent dans les parties les plus sensibles et privilégiées de l'infrastructure d'une organisation. Les agents de détection endpoint s'exécutent avec un accès au niveau du noyau. Les plateformes SIEM ingèrent les logs de tous les systèmes. Les fournisseurs d'identité détiennent les clés de chaque compte. Les pare-feu se situent à la frontière entre les réseaux de confiance et les réseaux non fiables.

Lorsque les produits de sécurité sont au cœur des défenses d'une organisation, ils ont, plus que jamais, une responsabilité accrue pour suivre les principes de l’approche Secure by Design (sécurité dès la conception). Dans notre secteur, les éditeurs jouent un rôle essentiel dans la protection des clients, et cette confiance s'accompagne d'attentes quant à la conception des produits.

Cette position privilégiée signifie qu'une vulnérabilité dans un produit de sécurité ne se contente pas de représenter elle-même un danger, elle expose tout ce que le produit était censé protéger. Un attaquant qui compromet un agent EDR (Endpoint Detection and Response) ne possède pas seulement un outil ; il possède un système endpoint avec les privilèges les plus élevés. Une faille dans un dispositif VPN ne se contente pas de bloquer l'accès à distance, elle offre à un adversaire un tunnel direct contournant tous les contrôles périmétriques.

Que se passe-t-il lorsque le principe de sécurité dès la conception (Secure by Design) est ignoré ?

Les conséquences d’une négligence dans la mise en œuvre des principes de sécurité dès la conception sont bien documentées et, s’ils ne sont pas correctement appliqués, ils rendent les entreprises, les utilisateurs et Internet dans son ensemble moins sûrs.

Augmentation des coûts liés aux violations de données : lorsque des vulnérabilités sont découvertes après la publication, leur correction coûte beaucoup plus cher que de les corriger pendant le développement.
Érosion de la confiance : les clients, les organismes de réglementation et les partenaires perdent confiance dans les organisations qui subissent des incidents de sécurité répétés. Les dommages causés à la réputation peuvent perdurer des années après la résolution technique.
Exposition aux risques réglementaires et juridiques : partout dans le monde, les gouvernements renforcent leurs réglementations en matière de cybersécurité. Le CRA (Cyber Resilience Act) de l’Union européenne, par exemple, imposera des exigences de sécurité obligatoires aux produits comportant des éléments numériques vendus en Europe. Les organisations qui ignorent les principes de la sécurité dès la conception (Secure by Design) s'exposent à des problèmes de conformité, à des amendes et à l'exclusion du marché.
Risques pour la sécurité nationale : les infrastructures critiques, réseaux électriques, traitement de l'eau, systèmes de santé, dépendent de plus en plus des appareils et systèmes connectés à Internet. Dans ces environnements, les produits non sécurisés par défaut créent des failles pour les adversaires parrainés par des États et les opérateurs de ransomware, avec des conséquences potentielles qui pourraient bouleverser la vie quotidienne de nous tous.
Fatigue perpétuelle liée aux patchs : sans fondations sécurisées, les organisations sont prises au piège d'une boucle réactive consistant à rechercher les vulnérabilités, prioriser les correctifs, tester les mises à jour et déployer les correctifs, de manière répétée. Cela mobilise des ressources qui pourraient être consacrées à des investigations plus approfondies en matière de cybersécurité.

L’engagement de Sophos en faveur de la sécurité dès la conception (Secure By Design)

Le 8 mai 2024, Sophos est devenue l'une des premières organisations à s'engager dans l'initiative Secure by Design de la CISA, qui se concentre sur sept piliers fondamentaux en matière de technologie de protection et de sécurité des produits :

Authentification multifacteur.
Mots de passe par défaut.
Réduction de catégories entières de vulnérabilités.
Correctifs de sécurité.
Politique de divulgation des vulnérabilités.
CVE.
Preuves d'intrusion.

Conformément à nos valeurs organisationnelles fondamentales en matière de transparence, le principe « Secure by Design » a été un guide précieux dans l’évaluation et l’amélioration continues de nos pratiques de sécurité.

Nous avons publié nos engagements en matière d'amélioration et partageons publiquement les progrès que nous réalisons par rapport aux sept piliers fondamentaux du framework « Secure by Design ». Bien sûr, la cybersécurité évolue constamment et le travail n'est jamais « terminé ». L’amélioration continue et le perfectionnement de l’application des principes de sécurité dès la conception au niveau de l’ensemble de notre gamme de solutions constituent une partie intégrante et permanente de notre philosophie.

À titre d'exemple, la dernière version (v22) de Sophos Firewall étend encore davantage les capacités Secure by Design de cette solution, notamment :

Une nouvelle fonctionnalité Health Check pour réduire le risque qu'une mauvaise configuration ne puisse déboucher sur une attaque potentielle.
Un tout nouveau plan de contrôle conteneurisé, repensé pour une sécurité et une scalabilité maximales, qui élimine toute une catégorie de vulnérabilités.
L'ajout d'un capteur Linux à Sophos XDR permet à nos équipes de sécurité de surveiller en temps réel l'intégrité du système au niveau de l'ensemble de nos clients afin d'identifier et de contrer plus rapidement les attaques.
Mises à jour du firmware chiffrées et authentifiées par certificat.

Ensemble, les modifications apportées à la version 22 et les fonctionnalités précédemment fournies dans Sophos Firewall renforcent la visibilité forensique, la journalisation/logging et la surveillance en matière de protection. Ces améliorations permettent également un meilleur alignement avec de nombreux domaines couverts par les recommandations du NCSC (National Cyber Security Centre) britannique relatives aux périphériques réseau.

De plus, notre travail dans le cadre de la campagne Pacific Rim nous a permis d’observer de près comment opéraient des acteurs malveillants déterminés et disposant de ressources importantes, et ce qu’il fallait mettre en œuvre pour réellement se défendre contre eux. La campagne a confirmé que les adversaires n’attendaient pas que des faiblesses apparaissent ; ils recherchaient activement les raccourcis en matière de conception, les failles de configuration et les systèmes non corrigés dans l’infrastructure globale. Cette expérience a directement façonné notre approche « Sécurisé dès la conception » (Secure by Design).

Il a été souligné que les défenses modernes devaient commencer par la réduction de la surface d'attaque au niveau du produit, en intégrant des paramètres par défaut robustes, en renforçant les voies d'authentification et en éliminant les possibilités d'utilisation abusive bien avant qu'une vulnérabilité ne soit exploitée.

La voie à suivre

La technologie « Secure by Design » n’élimine pas toutes les vulnérabilités et n’exonère pas les organisations d’une vigilance constante. Mais elle est devenue une base essentielle de la cybersécurité pour réduire la surface d'attaque. La question n'est plus de savoir si le concept de « sécurité dès la conception/Secure by Design » est une bonne idée, mais plutôt avec quelle rapidité elle sera adoptée.

Billet inspiré de Secure by Design: Building cybersecurity into the foundation, sur le Blog Sophos.

À propos de l'auteur

Sophos

Sophos is a cybersecurity leader defending 600,000 organizations globally with an AI-driven platform and expert-led services. Sophos meets organizations wherever they are in their security maturity and grows with them to defeat cyberattacks. Its solutions combine machine learning, automation, and real-time threat intelligence with frontline human expertise from Sophos X-Ops to deliver advanced, 24/7 threat monitoring, detection, and response.

Sophos offers industry-leading managed detection and response (MDR) alongside a comprehensive portfolio of cybersecurity technologies — including endpoint, network, email, and cloud security, extended detection and response (XDR), identity threat detection and response (ITDR), and next-gen SIEM. Together with expert advisory services, these capabilities help organizations proactively reduce risk and respond faster, with the visibility and scalability needed to stay ahead of evolving threats.

Sophos goes to market with a global partner ecosystem, including Managed Service Providers (MSPs), Managed Security Service Providers (MSSPs), resellers and distributors, marketplace integrations, and cyber risk partners, giving organizations the flexibility to choose trusted relationships when securing their business. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.