Se protéger des menaces numériques : sécurité

Echange surréaliste sur la sécurité informatique

A l’occasion d’une mission sur IIS (Internet Information Services), l’échange suivant se déroule avec l’équipe de développement d’une société connue dans le commerce en ligne.

  • Quelles sont les dispositifs mis en place pour sécuriser vos développements ?

« … »

  • Par exemple, vous faites des revues de codes ?

« Oui, oui. Nous faisons des revues de codes. »

  • D’accord. Comment ça se passe ? Vous prenez 2h, une matinée ? C’est formalisé, ritualisé… ?

« … »

  • Vous le faites régulièrement ? Systématiquement ? Vous procédez à des lectures croisées de code ? Bien évidemment, je ne parle pas d’un coup de main ponctuel d’un collègue sur une difficulté…

« Oui, oui, on le fait. C’est le responsable du développement qui le fait. »

C’est à pleurer. Visiblement, ils ne font rien et ils n’ont probablement jamais imaginer le faire.

Plus tard, le DSI me dira qu’ils ont déjà eu une compromission importante dans le passé.

Une histoire récurrente

Cette histoire est loin d’être isolée.

Bien souvent, la réaction des développeurs des autres sociétés est identique face à ce type de questions.

Ce qui surprend c’est de découvrir cette réaction dans une grande entreprise.

La volonté d’innover ou de surpasser la concurrence, parfois les contraintes réglementaires ou le service Marketing, poussent les entreprises à « aller de l’avant » sans prendre le temps de consolider ses progrès et protéger ses acquis.

Une forteresse

Dans une société de vente en ligne, le code d’un site web ou d’un logiciel est un bien immatériel qui doit être sécurisé et protégé farouchement.

Il faut être au petit soin avec ce code.

Si Microsoft, Amazon, Google, Facebook n’avaient pas eu cette démarche, ils n’existeraient plus, probablement.

Avec des attaquants de plus en plus nombreux, et de plus en plus organisés, les failles de sécurité de l’applicatif vont forcément être découvertes et exploitées.

C’est difficile d’imaginer qu’un chef d’entreprise responsable, ou un actionnaire actif, ne s’inquiète pas de la bonne santé de ce qui vivre l’entreprise.

Je sais bien que certains disent des phrases comme « Cela a fonctionné comme cela jusqu’à aujourd’hui » ou « Jusqu’à maintenant vous avez su faire avec. Continuez. »

Exponentiel

Sauf que le monde évolue et les cyber-attaques sont visiblement de plus en plus efficaces.

La liste des compromissions réussies ne cesse de s’allonger, aussi bien en France qu’à l’étranger.

Ci-dessous un petit extrait de cartographies liées aux attaques informatiques :

https://threatmap.bitdefender.com/

https://cybermap.kaspersky.com/fr/stats

https://www.digitalattackmap.com/

Si un jour, il est annoncé que l’entreprise en question a fait faillite à cause d’une compromission de sa sécurité, il n’y aura malheureusement pas de surprise.

Nous avons vécu une crise liée à une maladie qui se propageait de façon exponentielle, le COVID-19.

Nous avons découvert, un peu tardivement pour les pays européens, que face à une évolution exponentielle, il n’était pas adapté de réagir linéairement.

En clair, les mesures les plus énergiques doivent être prises tout de suite pour renforcer sa sécurité informatique et protéger son entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *