Comment intégrer la cybersécurité dans toutes les étapes du cycle de vie d’un produit

La cybersécurité est un secteur en pleine croissance qui répond à une préoccupation majeure pour les entreprises et les particuliers, dans un monde de plus en plus digital, avec notamment l’explosion des objets connectés, la dématérialisation des SI vers le cloud et d’importants échanges de de données. IDEMIA, en tant que leader mondial de l’identité numérique et biométrique, veille à proposer des technologies de pointe pour garantir les plus hauts standards de sécurité, allié au confort d’utilisation.

Laila Ahddar est à la tête des activités de cybersécurité de la Global R&D du groupe IDEMIA. À travers ses différentes missions, son rôle est de concevoir des systèmes constitués de produits avec un haut niveau de sécurité. La sécurité est pensée de la phase de conception, de développement jusqu’à la phase de production et de déploiement.

En quoi consiste votre fonction chez IDEMIA ?

J’ai plusieurs casquettes. Je suis directrice du centre d’Excellence IDEMIA Maroc et je suis également en charge de la cybersécurité pour les entités de la Global R&D du groupe. Mon rôle est d’accompagner le développement des produits intégrés dans la chaîne de valeur d’un service autour de solutions que nous vendons à nos clients. Ma première mission est de mettre en œuvre la sécurité tout au long du cycle de vie d’un produit, de sa phase de conception jusqu’à sa phase de livraison, en passant par sa production qui implique un monitoring pour détecter des failles en matière de sécurité et agir rapidement.

IDEMIA met un point d’honneur à assurer la sécurité des produits et des solutions. Nous sommes vigilants à tous les moyens de sécurisation mis en place pour que les développeurs puissent concevoir des produits sécurisés tout au long de la chaîne de valeur.

Je suis également chargée d’effectuer un important travail de sensibilisation de nos collaborateurs :

• d’une part, pour assurer la protection des locaux et la protection de l’information,
• d’autre part, pour protéger nos produits qui sont certes développés dans un environnement sécurisé, mais qui sont ensuite manipulés par des collaborateurs en interne et des personnes extérieures qui agissent pour le compte d’IDEMIA. Nous devons les sensibiliser et leur apprendre comment appliquer les bonnes pratiques.

Pouvez-vous nous détailler comment IDEMIA intègre la cybersécurité dans la conception de ses produits ?

Nous mettons en pratique ce qu’on appelle une méthodologie DevSecOps : il s’agit d’un framework standardisé. Des solutions composées de produit de type applicatif sont pour certains développés en DevOps (ou développement et en intégration continue), mélangeant des tâches Dev et Opération. Quand nous développons un produit, nous suivons différentes phases : plan, code, build, test, release, deploy, operate, monitor. Dans chacune de ces phases, nous appliquons la cybersécurité.

En amont de la phase de conception, nous réalisons un workshop dans lequel nous regardons le produit à développer et l’écosystème dans lequel il va évoluer pour effectuer une analyse de risques. Au cours de cette analyse, nous envisageons toutes les menaces (extérieures et internes), qui pourraient compromettre le produit ou sa chaîne de valeur. Cela permet de définir des mesures de protection à intégrer dans les phases de développement.

Le processus est-il différent lorsqu’il s’agit d’un programme qui englobe différents produits ? Quels sont les points importants à vérifier au niveau de la sécurité ?

La conception d’un programme implique de veiller à l’assemblage des différents produits qui constituent la solution vendue au client. Pour effectuer cet assemblage, nous faisons en sorte que la compromission d’un produit n’affecte pas toute la chaîne de valeur de la solution (et donc par « effet rebond » tous les autres produits et services de la solution). Par exemple, si nous concevons une application mobile, nous nous assurons qu’en cas de vol d’identifiants, toute la chaîne d’authentification des autres services délivrées à d’autres clients ne soit pas compromise. Notre travail répond à une logique globale. Nous appliquons la sécurité au cours du cycle de vie du produit, mais aussi en tenant compte de toute la chaîne de valeur de la solution dans laquelle le produit s’inscrit.

Comment l’expérience utilisateur est-elle intégrée dans la conception d’un produit ?

L’intégration de la cybersécurité prend pleinement en compte l’expérience client. Par exemple, dans le cas de la double authentification pour une application mobile, notre rôle est d’accompagner le designer UX à prendre en compte la sécurité dans son parcours client en cherchant le juste équilibre et rendre cette double authentification non contraignante en simplifiant par exemple la saisie du code SMS.

L’expérience utilisateur doit rester fluide pour garantir l’adoption du produit par le client. Notre objectif est de mettre un niveau de sécurité robuste et transparent pour le client afin de protéger nos infrastructures et nos produits. C’est en effet en amont du développement, lors de la réflexion sur l’UX et l’UI d’un produit, que nous imaginons comment la sécurité va pouvoir englober l’ensemble de ces éléments pour offrir la meilleure expérience utilisateur possible.

Comment garantissez-vous la sécurité d’un produit ?

Pour garantir la sécurité d’un produit IDEMIA, je me mets dans la peau d’un attaquant pour tenter de compromettre le système à travers ces produits ou les interconnexions avec d’autres produits. Par ailleurs, je me préoccupe des aspects juridiques et légaux qui pourraient nuire à l’image de l’entreprise et causer un préjudice business, par exemple les dispositions du RGPD qui visent à protéger les données personnelles des citoyens européens.  Nos recommandations sont transmises aux Projects managers et Développeurs, comprenant notamment les chemins d’attaques, pour qu’ils développent avec vigilance. Nous les accompagnons pour architecturer, nous leur transmettons les bonnes pratiques et nous mettons à leur disposition des outils pour les aider tout au long de la phase de développement.

Une veille sécuritaire est également réalisée. Il s’agit d’une étape importante car, dans un produit, nous utilisons des librairies qui sont développées par des tiers. Nous sommes alertés par des bulletins de sécurité lorsque des vulnérabilités sont trouvées et nous les gérons à l’intérieur même du cycle de vie du produit. Nous récupérons le plus possible ces vulnérabilités pour que nos développeurs les intègrent en correction. Si ces vulnérabilités sont constatées après coup, autour d’une stratégie de patch management, nous décidons du plan de mitigation à mettre en œuvre.

Comment les développeurs sont-ils sensibilisés aux bonnes pratiques à intégrer lors du développement d’un produit ?

Selon la maturité et la sensibilité du développeur, ses connaissances en matière de sécurité sont plus ou moins développées pour appréhender ces aspects. Nous avons prévu une phase de sensibilisation, qui s’accompagne de documentations, pour lui permettre de monter en compétences. Des outils sont introduits dans sa chaîne de développement de façon à l’aider, lorsqu’il commence à coder, pour lui permettre de détecter où se situent les failles de sécurité. Par ailleurs, nous nous appuyons sur un « sécurité champion » en tant que référent dans chaque projet, interface de l’expert sécurité, pour aider l’équipe projet à monter en compétences. Il est le garant de la mise en œuvre de la sécurité sur un projet.

Chaque langage de programmation a également ses spécificités en termes de sécurité, nous devons donc nous adapter. Le plan de formation prévoit un programme spécifique pour pouvoir les adresser correctement. Nos collaborateurs en interne commenceront par suivre une formation générique sur 2 jours, puis une formation spécifique par langage de programmation, et un programme spécialisé pour DevSecOps en sécurité et agilité. Par ailleurs, dans l’organisation agile, pour faciliter l’approche Security By Design, les exigences devront être intégrées le plus tôt possible dans la conception du produit.  Ces mesures de sécurité doivent être traduites en « security baselines », qui deviendront des « security user stories », qui vont ensuite alimenter les « products backlogs », prochaines étapes pour un développeur. Les scénarios de risques seront traduits en « Evils User Stories ».

En quoi consiste ces « Evils User Stories » ?

Une « Evils User Stories » décrit la réalisation d’un scénario de risque à travers l’identification d’une source de risque (attaquant externe / collaborateur malveillant), exploitant une vulnérabilité, occasionnant un impact sur la valeur métier.

Quels sont les outils, les langages de programmation que vous utilisez pour assurer ces différentes missions ?

Pour appliquer la sécurité sur nos produits, nous utilisons plusieurs outils qui peuvent venir du marché, ou que nous développons nous-même car ils ont une fonction spécifique pour nos métiers. Par exemple, nous utilisons :

• des outils de modélisation des menaces lorsque cela est nécessaire,
• des outils d’analyse de code statique dans la chaîne CI/CD qui sont sur le marché et utilisé par d’autres entreprises,
• des outils du marché pour nos tests et audits, afin de réaliser des scans de vulnérabilité, complétés par des pentests, tests d’intrusion, par nos équipes de Redteam. Il s’agit d’une équipe de sécurité hautement qualifiée aux scénarios d’attaque.

Aussi, nous utilisons plusieurs langages de programmation : Java / JEE, Spring, Python, Angular, Javascript, D3.JS, Node.js, React, PHP, HTML5/CSS3, le framework Bootstrap, C/C++ , pour la partie mobile, IOS et Android native,  Xamarine pour le développement web mobile et le responsive design.

La boîte à outils DevOps et DevSecOps reste standard, on retrouve des environnements communs à beaucoup de communautés de développeurs, que ce soit au niveau des repository, des outils de collaboration, chaînes CI/CD, ou les outils d’orchestration, test, monitoring et APM. Pour la partie sécurité, nous utilisons les frameworks OWASP, NIST, SANS et des outils de scan de vulnérabilités, analyse de code statique ou dynamique ainsi que des scans de vulnérabilité.

Nos collaborateurs maîtrisent tous ces langages et outils (ce qui légitime notre participation aux différentes éditions de la Battle Dev), et qui sont renforcés par nos équipes sécurité pour développer des produits à la pointe de la technologie.

Quels types de métiers recherchez-vous et quelles soft skills sont importantes selon vous pour travailler dans la cybersécurité ?

Nous recrutons des profils experts, que ce soit du côté IT ou dans le développement applicatif. Nous recherchons notamment des architectes IT sécurité, des architectes système, des développeurs sécurité, des pentester ou encore des profils qui travaillent sur la gouvernance. Pour les soft skills, j’attache beaucoup d’importance au leadership et à la communication. Je recherche des experts sécurité qui sont à mi-chemin entre la technique et le volet business. Un bon responsable de la cybersécurité doit faire preuve de leadership tout en sachant faire du marketing de la sécurité pour la vendre auprès de ses clients et de ses partenaires.

La cybersécurité a un coût, quand on ne la prend pas en compte suffisamment en amont des projets, qu’il faut savoir transformer en création de valeur pour répondre aux besoins de nos clients et les satisfaire. J’ai besoin de profils techniques pour accompagner nos partenaires sur ce sujet. Nos collaborateurs doivent également faire preuve de beaucoup de patience, de pédagogie et bien sûr de curiosité.

Retrouver toutes les offres de recrutement d’IDEMIA