La sécurité intégrée dès la conception n’est plus un luxe, mais un standard attendu par tout l’écosystème numérique et imposé par le RGPD. L’initiative Secure by Design repositionne les éditeurs de technologies comme premiers garants de la sécurité, en imposant des standards mesurables et transparents.
Depuis des années, renforcer la cyber-résilience fait l’objet d’une responsabilité partagée. Les acteurs du public comme du privé, les administrations, les entreprises, les universités et même les utilisateurs finaux, tiennent un rôle central dans la protection de l’infrastructure digitale collective.
Pourtant, à mesure que l’univers des menaces gagne en complexité et que les organisations, petites et grandes, accélèrent l’adoption de nouvelles technologies, les fournisseurs de technologies deviennent les principaux responsables de la sécurité des produits et des systèmes qu’ils offrent sur le marché.
Un levier commun pour faire progresser la cybersécurité
Lors du développement de produits, l’approche Secure by Design (protection dès la conception) doit être prise en compte par les éditeurs de technologies. La sécurité représente une brique essentielle aux processus de conception et de développement de produit. Aujourd’hui, elle ne peut plus être traitée à la légère et en fin de cycle.
En 2023, la CISA (Cybersecurity and Infrastructure Security Agency) a introduit le principe de Secure by Design pour démontrer la nécessité de repenser en profondeur l’attribution des rôles, des responsabilités et des ressources en matière de cyberespace. Désormais, un rééquilibrage des responsabilités s’opère. Le poids de la cybersécurité au niveau des individus, des petites entreprises, des collectivités locales et des opérateurs d’infrastructure migre vers des organisations mieux positionnées pour assurer la maîtrise des risques pour tous. Les fournisseurs technologiques doivent désormais endosser la responsabilité des résultats en matière de sécurité pour leurs clients, tout en faisant preuve de transparence et de fiabilité.
Si certains acteurs technologiques ont intégré le Secure by Design dans le développement de leurs produits depuis longtemps, cette approche reste sous-estimée en tant que facteur de progression pour la cybersécurité.
Plus que jamais, le Secure by Design doit rester une priorité. En dépit d’évolutions majeures en matière de politique, de géopolitique, d’économie et de société dans le monde, l’amélioration de la cyber-résilience à échelle collective profite à tous.
L’engagement de la CISA envers le Secure by Design, un nouveau souffle pour le secteur
L’avènement des principes du Secure by Design par la CISA a insufflé plusieurs initiatives, comme le Secure by Design Pledge. Cette charte est signée par des entreprises qui, sur la base du volontariat, appliquent les pratiques du Secure by Design dans le cycle de développement des logiciels d’entreprise.
La charte est entrée en vigueur en mai 2024. 68 entreprises y ont adhéré dans un premier temps, et en fin d’année dernière, ce nombre a franchi le cap des 250 signataires. Cet accueil positif marque une étape importante dans la dynamique du marché de la cybersécurité tandis que l’engagement a permis de concrétiser sur le terrain le concept quelque peu abstrait du Security by Design, en offrant aux éditeurs de logiciels une feuille de route pour améliorer la sécurité de leurs produits et aux clients, un guide d’accompagnement au processus d’achat de ces produits.
Secure by Design, un tremplin vers une cyber-résilience plus robuste
L’élaboration du Secure by Design est intransigeante et suit une logique du « tout ou rien », afin d’éviter que les fournisseurs choisissent eux-mêmes les objectifs à atteindre et que les résultats soient biaisés. Le but étant que les objectifs génèrent des résultats mesurables, avec des indicateurs de progrès facilement compréhensibles, ce qui permettrait aux éditeurs de les partager avec leurs prospects et leurs clients.
Le Secure by Design Pledge représente un tremplin pour les fournisseurs de technologies qui peuvent l’utiliser pour mieux protéger leurs clients, en offrant un accompagnement pertinent et flexible, permettant de mettre en place des bonnes pratiques. Pour les acheteurs, cet engagement et ses objectifs deviennent un moyen d’évaluer la cybersécurité des fournisseurs et de leurs produits dans le cadre d’investissements technologiques. Les acheteurs de technologies peuvent utiliser le Security by Design Pledge comme une grille de lecture, en demandant aux éditeurs dont ils évaluent les produits s’ils ont signé l’engagement et, le cas échéant, les informations qu’ils peuvent fournir par rapport à la mise en œuvre de ses principes.
Secure by Design, une nouvelle voie pour l’avenir
Cette approche est précieuse pour améliorer la cybersécurité collective, tout en consolidant le marché. Il est encourageant que de nombreux fournisseurs technologiques aient adopté ces principes, mais il ne s’agit là que des prémices. Les acheteurs de technologies doivent également exiger de leurs fournisseurs qu’ils soient conformes aux principes du Secure by Design et qu’ils partagent leurs progrès en toute transparence.
____________________________
Par Philippe Nault, Director Systems Engineering, France, Fortinet
puis