Une version de cet article a été publiée dans Forbes. Il a été mis à jour et publié ici.
Leplan stratégique pour la cybersécurité propose des changements majeurs dans la manière dont la plupart des organisations abordent la cybersécurité, et les développeurs sont dans une position unique pour aider à atteindre ces nouveaux objectifs.
L'Agence pour la cybersécurité et la sécurité des infrastructures(CISA) a non seulement joué un rôle déterminant dans la protection des infrastructures critiques et des réseaux informatiques des États-Unis depuis sa création en 2018, mais son influence et son expertise se sont également répercutées à l'échelle mondiale. Les conseils exhaustifs de l'agence, ses avis de sécurité, ses rapports sur les vulnérabilités et ses programmes de cybersécurité ont établi une référence mondiale pour les meilleures pratiques exploitables, soulignant l'importance du plan stratégique CISA 2023-2025 récemment publié dans le domaine de la cybersécurité mondiale.
L'influence et les réalisations de la CISA sont allées bien au-delà de ce que la plupart des agences gouvernementales ont pu accomplir, surtout si l'on considère qu'elle n'existe que depuis quelques années. Cela s'explique en grande partie par la croissance exponentielle du paysage des menaces et par le fait que les attaquants deviennent de plus en plus habiles dans leurs tentatives d'intrusion et d'exploitation. La CISA joue un rôle de premier plan dans la lutte contre les cybercriminels et autres acteurs dits "menaçants", en suivant méthodiquement les tendances et en prodiguant des conseils sur les meilleures pratiques en matière de cybersécurité.
Toutefois, malgré tous les conseils et orientations utiles de l'agence, celle-ci n'a jamais publié de plan stratégique global destiné à définir l'orientation générale des efforts en matière de cybersécurité au cours des prochaines années. Il ne s'agit pas d'un plan comme les autres , mais d' une étape importante que de nombreuses organisations voudront étudier et, à terme, mettre en œuvre. Le fait que le plan appelle à des changements majeurs dans la manière d'aborder la cybersécurité pourrait rendre difficile le suivi de ces orientations, bien que la communauté des développeurs soit dans une position unique pour aider si elle bénéficie du soutien, des outils et des parcours de montée en compétences adéquats.
Les meilleures pratiques mondiales en matière de cybersécurité sont en train de changer
À première vue, il serait facile de percevoir un certain niveau de frustration dans le plan stratégique de la CISA, mais la CISA reconnaît simplement le fait que si nous continuons à faire les mêmes choses qu'aujourd'hui, nous continuerons à voir les mêmes résultats. Pour que la cybersécurité s'améliore, il faudra des changements majeurs dans tous les domaines, y compris de la part des entreprises qui fabriquent les logiciels et les applications utilisés aujourd'hui.
Pointer du doigt les logiciels, du moins en partie, est un concept qui a été introduit précédemment. En fait, la stratégie de sécurité nationale des États-Unis indique spécifiquement que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'ensemble de l'écosystème numérique". Le plan stratégique de la CISA définit une nouvelle stratégie pour aborder et résoudre ce problème.
Le changement le plus important en matière de cybersécurité préconisé par la CISA consiste à inciter les concepteurs de logiciels à livrer des produits sécurisés. Si les meilleures pratiques en matière de codage sécurisé sont établies et mises en place, il y aura beaucoup moins de vulnérabilités, en particulier des vulnérabilités majeures, cachées dans les logiciels pour que les attaquants puissent les exploiter. Il est vrai qu'un élément ici ou là pourrait encore être négligé et qu'il faudra faire preuve de diligence pour le trouver et le corriger, mais il s'agit d'une proposition gérable par rapport au statu quo actuel : des centaines de vulnérabilités détectées chaque jour, qui surchargent les défenseurs de la cybersécurité. La CISA indique très clairement dans son plan que les concepteurs de logiciels et d'autres technologies doivent être responsables de la sécurité de leurs propres produits.
"En tant que société, nous ne pouvons plus accepter un modèle dans lequel chaque produit technologique est vulnérable dès sa sortie et où la charge de la sécurité repose sur les organisations et les utilisateurs individuels", indique le plan stratégique de la CISA. "Les technologies doivent être conçues, développées et testées de manière à minimiser le nombre de failles exploitables avant d'être mises sur le marché.
Le plan poursuit en suggérant qu'à terme, cette nouvelle approche pourrait être plus que suggestive, affirmant que la CISA utilisera "tous les leviers disponibles pour influencer les décisions des dirigeants d'organisations en matière de risques". Il laisse également entendre que des lois telles que le Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), qui régit actuellement la déclaration des cyberincidents, pourraient servir de modèle pour que la conformité volontaire à ces nouvelles réglementations devienne plus obligatoire. Quoi qu'il en soit, la plupart des entreprises qui fabriquent aujourd'hui des logiciels et d'autres technologies auraient tout intérêt à s'inspirer de ces nouvelles orientations.
Les orientations de la CISA représentent une opportunité clé
Au lieu d'appréhender la perspective d'un plus grand nombre de réglementations potentielles, les organisations devraient plutôt saisir l'occasion d'utiliser le plan stratégique CISA pour s'efforcer d'obtenir des logiciels meilleurs et de meilleure qualité. Il ne s'agit pas seulement d'un appel à la conformité, mais d'une chance pour les développeurs d'affiner leurs compétences et de contribuer à un paysage numérique plus sûr. En fin de compte, la production de logiciels sécurisés profite à tout le monde, y compris à l'entreprise qui les fabrique, aux utilisateurs qui en dépendent et aux personnes dont les données sont consultées ou stockées par ce logiciel ou cette application. Seuls les attaquants se retrouvent les mains vides si le code qui compose la majorité des logiciels et des applications est rendu aussi sûr que possible avant d'être transféré dans un environnement de production.
Compte tenu de cette nouvelle orientation, il est logique que les développeurs d'une organisation, qui écrivent ou génèrent tout le code, constituent un point de départ idéal pour la mise en œuvre d'un codage plus sûr et pour les efforts visant à se conformer au plan CISA. Mais les développeurs ne peuvent y parvenir seuls, sans le soutien du reste de l'organisation, en particulier de la direction. Le fait que les développeurs comprennent les vulnérabilités, la manière d'écrire du code sécurisé et de reconnaître les problèmes bien avant qu'ils n'atteignent un environnement de production sera la clé pour que les organisations assument finalement la responsabilité de l'expédition du code et, comme le dit la CISA, "veillent à ce que les vulnérabilités soient découvertes et corrigées avant que des adversaires puissent les utiliser pour causer des dommages".
Il convient de noter que les développeurs ont besoin d'une formation assez poussée. C'est un véritable défi pour quelqu'un de devenir compétent dans l'écriture de codes sécurisés, et les mesures de conformité "check-the-box" ne sont tout simplement pas à la hauteur de cette tâche. Les développeurs auront besoin de méthodes d'apprentissage agiles de haut niveau qui offrent des résultats pratiques, digestes et continus dans le cadre d'un programme global de sensibilisation à la sécurité afin de s'assurer qu'ils possèdent les compétences nécessaires pour maintenir le niveau de sécurité requis par le nouveau plan CISA.
Idéalement, la formation continue pour se préparer au plan CISA devrait également intégrer un grand nombre de méthodes et de programmes avancés que les développeurs utilisent tous les jours, tels que les principes du développement Agile. Par exemple, dans le développement Agile, le travail est divisé en morceaux gérables, en superposant des sprints dans un cycle continu. Un bon programme de formation qui intègre les pratiques agiles peut aider les développeurs à acquérir rapidement les compétences nécessaires pour soutenir le plan CISA, ce qui leur permet de commencer à en voir les avantages et à coder de manière plus sûre presque immédiatement.
La bonne nouvelle est que la plupart des développeurs soutiennent les pratiques de codage sécurisé et sont désireux d'aider leurs organisations à se conformer à la nouvelle directive CISA. Dans une enquête menée auprès de plus de 1 200 développeurs professionnels travaillant activement dans le monde entier, l'écrasante majorité d'entre eux ont déclaré qu'ils étaient favorables au concept de création de code sécurisé et à l'instauration d'une meilleure culture de la sécurité au sein de leur organisation.
Les développeurs ont besoin de parcours de formation précis et d'un soutien adéquat. Si les organisations sont en mesure de le faire, non seulement leur code deviendra plus sûr, mais elles prendront de l'avance dans leurs efforts pour se conformer aux orientations définies dans le nouveau plan stratégique de la CISA en matière de cybersécurité, voire les surpasser.
Ce changement proposé dans la culture de la sécurité sera un défi, mais c'est aussi une occasion incroyable de changer la nature de la cybersécurité et de créer un monde où la technologie qui améliore notre vie à tous n'est pas également en proie à des attaquants qui tentent constamment de l'exploiter à leurs propres fins néfastes. Nous avons le pouvoir de les arrêter, et le plan CISA montre une voie prometteuse vers cet objectif remarquable et finalement réalisable.