«La culture de la sécurité a mûri»
La sécurité joue un rôle central dans le développement logiciel. Peter Gassmann, responsable de l’ingénierie des solutions et membre de la direction d’Abraxas Informatique, explique à la rédaction ce qui selon lui implique une approche structurée.
Le secteur public a-t-il, selon vous, des exigences spécifiques en matière de logiciels sur mesure, qui se distinguent de celles dusecteur privé?
Les différences ne sont pas très marquées. Le secteur public exige généralement, dès le début, un haut niveau de protection des données, de sécurité de l’information et de pérennité d’exploitation. Dès la phase d’appel d’offres, il demande des mises à jour de maintenance, des upgrades et des correctifs de sécurité. Dans certains cas, le recours à des programmes de Bug Bounty est également requis. En ce qui concerne les intégrations, les standards d’interfaces et d’échange définis par l’association eCH sont centraux.
Quelle approche structurée suivez-vous en matière de développement logiciel sécurisé, et quelles expériences en tirez-vous?
Abraxas a mis en place un cadre complet de sécurité logicielle, que nous développons en continu. Son pilier central est le Secure Software Development Lifecycle: il indique aux chefs de projet et aux architectes quand et comment intégrer la sécurité dans les différentes étapes du processus. Dès la phase de définition des exigences, nous réalisons un threat modelling – nous adoptons alors le point de vue d’éventuels pirates et intégrons des contre-mesures dès la conception. Notre Software Security Group sert de centre de compétences et, en lien avec notre propre Security Operations Center, agit aussi comme une force d’intervention rapide en cas d’urgence. Des contrôles automatisés sont intégrés dans le processus de build et release. Les retours sont globalement très positifs: la culture de la sécurité a mûri, comme en témoigne le faible nombre de failles détectées dans le cadre de nos programmes Bug Bounty et d’audits internes.
Quelles sont les tendances actuelles dans les logiciels sur mesure?
Aujourd’hui, une plateforme de contenu, à savoir Kubernetes, est toujours utilisée comme infrastructure de base. Les logiciels bénéficient ainsi directement de fonctions utiles de robustesse et d’évolutivité. La standardisation est par ailleurs simplifiée, notamment pour les aspects de la surveillance, de la connexion et des processus de build et release. Cela réduit les coûts, et les développeuses et développeurs peuvent plus facilement être affectés à différents projets.
