«Les logiciels régissent le monde», affirme-t-on dans l’informatique. Ne devrait-on pas dire aujourd’hui «les logiciels non sûrs menacent le monde»? Doit-on aujourd’hui les considérer comme généralement peu sûrs? «Cette attitude n’est en tout cas pas mauvaise. En informatique, on parle de <Zero Trust> – expression anglaise qui veut dire zéro confiance», explique Daniel Scherrer, Chief Software Architect chez Abraxas.
La sécurité est un processus
Ce que l’on sait moins, c’est qu'il suffit de quelques secondes pour qu’un logiciel ne soit plus sûr: «Une solution aujourd’hui si sûre qu’elle n’a aucun point faible connu est aussi actuelle que la date sur le journal du jour. Le contrôle de la sécurité doit être permanent et n’est jamais terminé», explique Scherrer, qui conçoit la structure des systèmes logiciels et prend des décisions fondamentales sur l’interaction des composants. Un logiciel sûr – comme solution – résulte de la combinaison d’un code sûr, d’une configuration sûre et de composants sûrs (pare-feu, réseau etc.). Et c’est aussi l’une des raisons pour lesquelles la sécurité n’est pas stable pour toujours et doit donc être évaluée en permanence, car les composants et la configuration peuvent changer même sans que le code ait été adapté.
Ce processus dure de la première idée de programmation jusqu’à la «mort» du logiciel au bout de x années, et est mis en œuvre sous l’appellation «développement logiciel sûr" a été mis en œuvre. Pour cela, différents spécialistes, les outils techniques et les directives doivent bien fonctionner ensemble, car les dangers sont partout.
Un exemple sont les «bibliothèques de logiciels», qui sont utilisées dans chaque logiciel car il n’est pas nécessaire de réinventer chaque détail. Mais, explique Peter Gassmann, responsable du développement logiciel et membre de la direction d’Abraxas, là encore, la prudence est de mise: «Il y a par exemple le risque que l’on utilise une bibliothèque open source connue dans laquelle un nouveau point faible est identifié. Souvent, celui-ci existait depuis longtemps, mais personne ne l’avait remarqué.»
Échange hebdomadaire de connaissances
Afin de pouvoir construire des logiciels aussi sûrs que possible, Abraxas est certifié ISO-27001, selon la norme mondiale pour la sécurité des informations. Mais cela ne suffit pas. Les mesures prises par Abraxas comprennent, outre des directives internes, des analyses de vulnérabilité continues et automatisées. Les évaluations sont prises en compte dans le développement ultérieur. «Nous faisons régulièrement évaluer notre travail par des experts externes», explique Scherrer. Un groupe d’experts internes appelé «Software Security Group» thématise chaque semaine les dernières connaissances et les mesures nécessaires. «Nous investissons en outre dans le savoir-faire: Rien qu’en 2021, 40 développeurs de logiciels ont bénéficié d’une formation continue en sécurité», explique Gassmann. «Nous sommes en pleine course aux armements, car la cybercriminalité est une très grande industrie et ce n’est qu’en fournissant des efforts correspondants que l’on peut s’y opposer.» Des efforts? Qu’est-ce que cela signifie en termes de coûts? «La sécurité et les coûts ont toujours été l’objet de tensions désagréables. Souvent, on n’encourage pas la sécurité, on l’attend tout simplement. Nous voulons pouvoir répondre à ces attentes par l’automatisation et des interventions humaines institutionnalisées.» Jusqu’à présent, nous y sommes parvenus. La méfiance d’Abraxas envers son propre logiciel a porté ses fruits pour les clients.
A propos Marcel Gamma
Depuis sa formation de webmaster en 1998, Marcel Gamma travaille pratiquement exclusivement dans le domaine de l'informatique et de la communication en ligne. Il est Senior Communication Manager chez Abraxas. Son dernier poste était celui de rédacteur en chef d'inside-it.ch et d'inside-channels.ch. Auparavant, il a été responsable de la communication de l'association swissICT, responsable d'un département de l'Aargauer Zeitung, consultant dans une agence web et journaliste en ligne chez bluewin.ch.