Le développement de logiciel sûr est plus important que jamais. Notre priorité absolue est de protéger nos clients et leurs données.
La sécurité est un processus
Ce que l’on sait moins, c’est qu'il suffit de quelques secondes pour qu’un logiciel ne soit plus sûr: «Une solution aujourd’hui si sûre qu’elle n’a aucun point faible connu est aussi actuelle que la date sur le journal du jour. Le contrôle de la sécurité doit être permanent et n’est jamais terminé», explique Scherrer, qui conçoit la structure des systèmes logiciels et prend des décisions fondamentales sur l’interaction des composants. Un logiciel sûr – comme solution – résulte de la combinaison d’un code sûr, d’une configuration sûre et de composants sûrs (pare-feu, réseau etc.). Et c’est aussi l’une des raisons pour lesquelles la sécurité n’est pas stable pour toujours et doit donc être évaluée en permanence, car les composants et la configuration peuvent changer même sans que le code ait été adapté.
Ce processus dure de la première idée de programmation jusqu’à la «mort» du logiciel au bout de x années, et est mis en œuvre sous l’appellation «développement logiciel sûr" a été mis en œuvre. Pour cela, différents spécialistes, les outils techniques et les directives doivent bien fonctionner ensemble, car les dangers sont partout.
Un développement logiciel sûr signifie que tout le monde comprend l'objectif et tire à la même corde. Cette orchestration des personnes et des organisations est un défi particulier.
Un exemple sont les «bibliothèques de logiciels», qui sont utilisées dans chaque logiciel car il n’est pas nécessaire de réinventer chaque détail. Mais, explique Peter Gassmann, responsable du développement logiciel et membre de la direction d’Abraxas, là encore, la prudence est de mise: «Il y a par exemple le risque que l’on utilise une bibliothèque open source connue dans laquelle un nouveau point faible est identifié. Souvent, celui-ci existait depuis longtemps, mais personne ne l’avait remarqué.»
Échange hebdomadaire de connaissances
Afin de pouvoir construire des logiciels aussi sûrs que possible, Abraxas est certifié ISO-27001, selon la norme mondiale pour la sécurité des informations. Mais cela ne suffit pas. Les mesures prises par Abraxas comprennent, outre des directives internes, des analyses de vulnérabilité continues et automatisées. Les évaluations sont prises en compte dans le développement ultérieur. «Nous faisons régulièrement évaluer notre travail par des experts externes», explique Scherrer. Un groupe d’experts internes appelé «Software Security Group» thématise chaque semaine les dernières connaissances et les mesures nécessaires. «Nous investissons en outre dans le savoir-faire: Rien qu’en 2021, 40 développeurs de logiciels ont bénéficié d’une formation continue en sécurité», explique Gassmann. «Nous sommes en pleine course aux armements, car la cybercriminalité est une très grande industrie et ce n’est qu’en fournissant des efforts correspondants que l’on peut s’y opposer.» Des efforts? Qu’est-ce que cela signifie en termes de coûts? «La sécurité et les coûts ont toujours été l’objet de tensions désagréables. Souvent, on n’encourage pas la sécurité, on l’attend tout simplement. Nous voulons pouvoir répondre à ces attentes par l’automatisation et des interventions humaines institutionnalisées.» Jusqu’à présent, nous y sommes parvenus. La méfiance d’Abraxas envers son propre logiciel a porté ses fruits pour les clients.
