Date
19.06.2020
Découvrez ici pourquoi un «canard noir» permet de tenir les cyberattaquants à l’écart de vos données sensibles et en accroît la sécurité.
Les applications techniques de Bedag traitent souvent des données personnelles confidentielles qui nécessitent une protection adéquate. Beaucoup de ces applications sont accessibles via Internet afin que les collaborateurs des administrations puissent gérer leurs tâches de manière efficace et que les citoyennes et les citoyens bénéficient d’un accès direct à leurs données. Elles sont ainsi également potentiellement accessibles aux pirates professionnels qui disposent d’un solide savoir-faire technique et de moyens financiers conséquents. Selon le domaine spécialisé, il est même envisageable qu’un autre État mette des pirates sur la piste de certaines données de manière ciblée. Des « kits d’exploit » pour bibliothèques de codes et frameworks grâce auxquels des personnes non expertes peuvent exploiter des failles de sécurité sont en outre disponibles sur Internet.
Il est clair que la protection des applications doit atteindre un excellent niveau dans ce contexte.
Avec la tendance à une large disponibilité sur Internet, il ne suffit plus aujourd’hui de se concentrer sur un cloisonnement optimal des applications dans le cadre de l’exploitation. Chez Bedag, lors du développement des logiciels, nous contrôlons nos produits de manière automatisée dès la phase de développement afin de détecter les failles de sécurité. Aujourd’hui, des applications modernes sont développées avec de nombreuses bibliothèques open source. Il est inefficace de vérifier manuellement de façon régulière la présence de nouvelles failles de sécurité, mais ce serait nécessaire pour les raisons susmentionnées.
Bedag réalise donc ce contrôle dans les projets de logiciels par le biais d’audits de sécurité automatisés pour les composantes utilisées. Il en résulte de sérieuses économies d’échelle, d’autant plus efficaces que le contrôle de sécurité était auparavant effectué séparément par chaque équipe.
Bedag mise notamment sur « Black Duck », un logiciel de Synopsis établi sur le marché. Afin de réaliser les audits automatisés pour les composantes logicielles, « Black Duck » accède à une banque de données complète de failles de sécurité et d'informations de licence. Le logiciel effectue une vérification de toutes les bibliothèques employées à chaque fois que l'application est complétée ou modifiée de manière importante.
Outre les problèmes de sécurité, les composantes dont le modèle de licence est potentiellement problématique sont identifiées. De cette façon, il est possible d’empêcher l’utilisation d’une bibliothèque avec une licence open source virale, par exemple, ce qui aurait pour conséquence que toute l’application technique doive aussi être libérée comme open source.
Chez Bedag, la sécurité de vos données est primordiale dès le développement des logiciels afin que celles-ci restent protégées au mieux plus tard également, lors de l’exploitation. Vous trouverez de plus amples informations sur les thèmes de la sécurité et de l’open source au chapitre Exploitation dans notre Boussole de technologie.