mardi 6 février 2024
[Dossier spécial] L’Content type : Insight des risques dans le cadre de projets de développement informatique#1
L'analyse des risques occupe une place centrale dans le développement. Dans ce premier article du dossier spécial d'analyses des risques dans le monde du développement, nous examinons les enjeux humains et les besoins métiers. Retrouvez les autres articles au bas de cette page.
De nos jours, les entreprises n'ont pas d'autre choix que d'être confrontées au monde du digital. Le développement d'applications métier en devient vital, que ce soit pour des usages internes, pour apporter de nouveaux services aux clients de l'entreprise ou même pour être ouvert au grand public.
En contrepartie, elles sont de plus en plus la cible de cyberattaques et ces dernières peuvent avoir des impacts significatifs sur l’activité de l’organisation, par exemple une fuite de données ou une usurpation d’identité, allant même dans certains cas jusqu’à l’arrêt d’activité pour l’entreprise. Ces faits sont accentués par le télétravail, le contexte géopolitique (conflit Ukraine/Russie, augmentation des attaques étatiques...) et la sensibilité des données qui circulent sur le web.
Quelles sont les normes et organismes qui gravitent autour de l’analyse des risques ?
En France, nous avons des organismes permettant le contrôle et le support des questions liées à la cybersécurité, nous pouvons nommer l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) pour les règles générales sur la sécurité informatique, la CNIL (Commission Nationale de l’Informatique et des Libertés) pour la protection des données à caractère personnel mais encore des organismes plus spécifiques tel que l’ANS (Agence du Numérique de la Santé) pour les données liées à la santé.
De plus, certaines normes permettent de mettre en place des processus de gestion de l’analyse de risques. En France, nous avons la méthode EBIOS (Expression des Besoins et identification des Objectifs de Sécurité) qui peut s'appliquer en plus des normes mondiales, dont l'exemple principal est la ISO/IEC 27005 RM (Risk Manager).
En quoi consiste l’analyse de risques ?
L’analyse de risques est un processus permettant d’identifier les différents risques auxquels sont confrontés des actifs. Nous parlons d’actifs en désignant des applications, datacenters, locaux, et autres infrastructures. Après l’identification des actifs, nous devons identifier une multitude de facteurs comme leurs vulnérabilités, les impacts associés (financier, juridique, opérationnel, réputation) et la probabilité que des incidents se produisent.
Cette analyse des risques est à démarrer le plus tôt possible lors de la phase de Build du projet. En effet, les résultats qui en découleront permettront d’y associer des moyens afin d’apporter une sécurité pertinente face à chacun des risques. Si l’impact et la probabilité ne sont pas élevés alors des mesures de sécurités standards seront suffisantes pour assurer la sécurité du projet et des données. Cependant, si les données sont confidentielles ou secrètes par exemple, il sera nécessaire de mettre en place des mesures de sécurités plus fortes et plus onéreuses. Il est évident que plus cet atelier d’identification des risques est fait en amont plus il sera facile de budgétiser et de sécuriser le projet.
Cette analyse nous permettra par la suite d’identifier des moyens de traitement de ces risques. La norme ISO/IEC 27005 RM propose 4 moyens de traitement :
- l’acceptation: l’organisme ne met pas de moyens en place en acceptant le risque encouru.
- le partage : cela peut être représenté par des assurances permettant de réduire l’impact du risque par exemple.
- le refus : l’organisme refuse l’application car les risques sont trop élevés.
- la diminution : l’organisme met en place des moyens de diminuer soit l’impact, soit la vulnérabilité du risque avec par exemple un durcissement des politiques de gestion des mots de passe.
Qu’en est-il dans un écosystème de développement ?
La mondialisation appuyée par le digital a raccourci les distances et les cycles de vie des produits. Cet état de fait pousse les entreprises à toujours plus d'innovation et donc à des processus de développement ; par exemple avec la mise en place de Fabrique Digitale mettant en avant des développements innovants et rapides afin d’avoir un avantage concurrentiel.
L’aspect de sécurité est primordial pour assurer aux clients et aux utilisateurs que leurs données ne soient pas interceptées par des attaquants aussi bien internes qu’externes. C’est pourquoi la partie « sécurité » doit être initiée au niveau de la conception des développements informatiques, ce qui permet d’éviter les itérations trop tardives lors de la phase de run. C’est le principe de DevSecOps (Development - Security – Operations).
Pourquoi la sécurité n’est pas à négliger ?
Afin d’illustrer les propos, voici quelques chiffres permettant de prendre de la hauteur sur l’importance de l’analyse des risques lors de vos processus de développements :
- Hausse globale des attaques : +17% d’attaques DDoS avec demande de rançons, 155,3 millions de mails de phishing seulement au 1er trimestre 2022
- 380 000 fichiers malveillants par jours
- Rançon record pour ACER de 50 millions de dollars demandés en 2021
- Vol de 1,4 millions de données de santés pour les hôpitaux de Paris en 2020
- 43% des attaques visent des petites entreprises, les plus vulnérables en 2022
- 90% de toutes les brèches informatiques sont causées par des erreurs humaines
En effet, les attaques informatiques sont de plus en plus complexes à déjouer et il est souvent trop tard lorsque les entreprises se rendent comptent qu’elles en ont été attaquées. Au vu des chiffres cités précédemment, l’un des moyens permettant de se sécuriser est donc la sensibilisation de vos collaborateurs, avec la mise en place de bonnes pratiques de cybersécurité. Le collaborateur doit être encouragé à vérifier l’expéditeur des mails qu'il reçoit. Il devra aussi adopter une politique de mot de passe robuste, verrouiller son poste de travail et s'assurer de suivre les consignes de cybersécurité instaurées par son entreprise.
Exemples de bonnes pratiques universelles :
- Ne pas brancher un périphérique si l’on n’est pas sûr de son origine.
- Ne pas cliquer sur un lien ou scanner un QR Code qui ne parait pas légitime car cela peut mettre en danger son ordinateur et ses données.
- S’assurer que les mails envoyés soit bien chiffrés avec des protocoles non obsolètes.
- Ne pas se connecter à un réseau wifi public pour traiter des données privées.
- Eviter au maximum de travailler sur des sujets professionnels dans des lieux publics (à minima utiliser un filtre de protection).
Pour en savoir plus sur les bons réflexes à adopter dans votre environnement de travail, prenez contact avec notre Pôle Cybersécurité Talan.
Thématiques en lien