exigences-securite

21 septembre 2023

Dans cet article, Padok Security partage l’expérience de centaines de CTO qui ont dû faire face aux nombreuses exigences de sécurité imposées par un grand compte. Quelle est la stratégie à adopter pour répondre au mieux aux exigences sans sortir des contraintes budgétaires ?

La sécurité, le caillou dans la chaussure du CTO

Il arrive souvent dans la vie d’une entreprise de signer un contrat significativement plus gros que les autres : on parle bien DU contrat qui va faire décoller le business. Malheureusement, ce genre de contrat est accompagné de multiples difficultés annexes, dont les exigences de sécurité.

En tant que CTO, la sécurité n’est qu’un pilier parmi tous les différents aspects techniques et organisationnels à gérer. C’est une énorme source de charge mentale et d’ennui qui va souvent à l’encontre de la productivité des développeurs.

PTSYM_Floor_Plan

Légende : Les mesures techniques et organisationnelles adéquates afin de garantir un niveau de sécurité adapté au risque associé pour préserver les droits et libertés des personnes physiques formulaire A-38 - Les douze travaux d’Asterix.

La plupart des grands groupes attendent de leurs prestataires, la mise en place de mesures techniques et organisationnelles adéquates. Cela vise à garantir un niveau de sécurité adapté au risque associé pour préserver les droits et libertés des personnes physiques.

Il n’y a jamais eu de consensus général quant aux exigences précises qui doivent être remplies. Chaque grand groupe possède son propre référentiel, issu généralement de la norme ISO 27001, des recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ainsi que des exigences du RGPD.

Ces référentiels sont plus ou moins longs, pertinents et complexes à remplir. Si certaines cases ne sont pas cochées, le client pourra même exiger, avant signature du contrat, des actions correctives à mettre en place et des points d'avancement de mise en conformité réguliers.

Le but est donc de trouver le moyen le plus rapide de répondre à ces référentiels, en mettant en œuvre le contrôle nécessaire, tout en assumant la non-conformité sur certains choix. Par exemple, on n’attend pas vraiment d’une entreprise de 10 personnes de posséder un IDS (système de détection d’intrusion).

⚠️ Le client peut même engager un tiers pour effectuer un audit de sécurité avant signature. Il est donc de mise de répondre en toute franchise à ces questionnaires.

7 conseils pour avancer efficacement

Commencer par chercher tous les critères d’exigence non applicables

Pour réduire la masse de travail, la première démarche est de réduire le scope des questions auxquelles répondre.

  • Si vous avez une stack serverless, vous pouvez rayer toutes les questions relatives aux serveurs (la sécurité des accès, les mises à jour, le back-up des disques, …).
  • Si vous êtes 100% cloud-native, presque toutes les questions relatives au hardware et à la sécurité des locaux sont non applicables.

Répondre via des process techniques plutôt que des procédures

Il est souvent possible d’éviter de mettre en place de nombreux process humains via l’automatisation. De nombreux checks peuvent s’avérer inutiles ou non applicables si votre système interdit de facto certains comportements.

  • Par exemple, la mise en place de pipelines de CICD pour automatiser les déploiements vous permettra d’éviter toutes les questions relatives à l’administration des assets de production. Aucun humain n’y a accès, et les actions en CICD sont tracées.
  • Si les données de vos clients sont stockées sur un bucket S3, vous bénéficiez quasi instantanément du chiffrement, des backups automatiques, de la redondance multirégionale.

Concentrer les efforts sur l’essentiel en termes de risques

Les formulaires étant souvent extrêmement longs et complets, les prestataires ne peuvent pas s’attendre à 100% de conformité. Réfléchissez aux facteurs qui peuvent vraiment causer un deal-breaker. Qu’est-ce qui est absolument primordial pour votre prospect ?

  • La confidentialité des données : Restreindre l’accès aux données de production, ne jamais les recopier sur les environnements de développement.
  • La disponibilité du service : Rédiger un PCA, en prenant appui sur les SLAs garantis par vos différents services.
  • Le stockage de ses données (chiffrement, l'hébergement, les backups).
  • Le cloisonnement inter-client : soit via des DBs dédiées, soit via une forte politique logicielle de contrôle d’accès.
  • Qui a accès aux données (comment fonctionne l'administration des assets de productions, quelles applications ont des accès, etc …)

S’appuyer sur des outils pour rédiger sa PSSI

Si votre prospect attend de vous une PSSI complète et que vous ne savez pas par où commencer, une bonne solution peut être l’achat d’un outil SaaS comme Vanta.

Vanta est une plateforme conçue pour simplifier et rationaliser le processus de mise en place de pratiques de sécurité informatique solides. Elle offre un éventail d'outils et de fonctionnalités conçus pour vous aider à évaluer, surveiller et améliorer en continu votre posture en matière de sécurité.

Gérer la compliance via des outils ou des services managés :

La compliance d’une infrastructure à certaines normes peut être assez facilement monitorée via les outils des cloud providers, ou des outils open source.

Si on prend l’exemple d’AWS, AWS SecurityHub permet d’avoir en quelques clics un dashboard présentant toutes les non-conformités de l’infrastructure.

Si votre infrastructure est codée en IaC, des outils comme Checkov permettent également de scanner la codebase à la recherche de non-conformité.

Mettre en place une roadmap pour tout ce qui manque

Vous avez coché une bonne partie des exigences, mais il reste en encore qui nécessitent au préalable des changements profonds ou la mise en place d’outillage ? C’est normal. Aucune entreprise n’est sécurisée à 100%, l’important est d’avoir une roadmap de sécurité pour montrer que l’effort fourni est constant et que les choses s’améliorent.

Synthétisez tous les gros chantiers dans une roadmap priorisée, et ajoutez-la à votre liasse de réponse.

Il y a de fortes chances que votre prospect prenne en compte votre roadmap sécurité dans son appréciation.

Réaliser un test d’intrusion en amont

Réaliser un test d’intrusion annuel sur votre applicatif est toujours une bonne idée. Il y a de fortes chances pour que ce soit exigé par un prospect, une norme de sécurité ou par un fonds d’investissement. Deux avantages à le faire en amont :

  • Le fait d’avoir un certificat d’audit qui date de plusieurs mois prouve que vous avez une démarche de sécurité mise en place depuis longtemps.
  • La correction de certaines failles applicatives peut prendre du temps.
  • Si une faille applicative est exploitée par un attaquant avant que vous la corrigiez, l’impact pour votre business peut être catastrophique.

Conclusion

Répondre aux exigences des grands comptes lorsqu’on n'a pas d’équipe ou de moyen illimité peu s’avérer complexe et rébarbatif. Ces quelques conseils devraient vous permettre de vous acquitter plus efficacement cette tâche : réduire le scope, traiter une partie via des moyens techniques, de s’outiller pour automatiser ou planifier d’autres actions dans une roadmap.

Sans compter les contrats décrochés, cette démarche vous permettra dans tous les cas d’améliorer votre niveau de sécurité et de réduire les risques d’attaques dans le futur.