Eric Baize, EMC : «la sécurité devient un élément de l’ingénierie du logiciel»

Responsable de la sécurité des produits chez EMC, Eric Baize, a accepté de partager avec nous son regard sur l’intégration de la sécurité dans les processus de développement logiciel, lors d’une rencontre à la conférence RSA, qui se déroulait la semaine dernière à San Francisco. Prudent, Eric Baize souligne des avancées.

LeMagIT : L’intégration de la sécurité aux processus de développement des logiciels n’est-elle pas encore qu’un voeu pieux ?

Eric Baize : Plus maintenant. La situation a commencé à évoluer de manière significative. Un changement vraiment important a commencé à s'opérer il y a vraiment trois ou quatre ans. Les entreprises qui ont vraiment les moyens - comme les banques, ou les éditeurs tels que nous - ont commencé à réaliser que tout le monde n'abordait pas le problème avec le même sens des priorités : s’il est évident que la sécurité du logiciel est un problème complexe et couteux, il est apparu tout aussi évident qu’il ne serait pas résolu par une seule personne. Il est clairement de l’intérêt de l'industrie du logiciel toute entière de participer à le résoudre. Parce que, au final, le problème se résume à celui du maillon faible, celui qui offre une prise aux attaquants. 

Depuis trois, quatre ans, donc, l’industrie du logiciel a lancé des initiatives de mise en commun des connaissances : les entreprises qui font du logiciel échangent ainsi sur leurs pratiques. 

EMC a rejoint deux initiatives importantes. Safecode.org, tout d’abord, qui est principalement orientée vers les développeurs de logiciels, soit intégrés à leurs produits, soit parce qu’ils éditent et vendent des logiciels. Nous y sommes là associés à SAP, Nokia, Microsoft, Symantec, Adobe, Juniper, Siemens, etc. La seconde est BSIMM.com, une initiative organisée par Gary McGraw, de Cigital, qui a examiné et évalué 45 pratiques de sécurité dans 45 grandes organisations.

LeMagIT : Vous avez commencé votre propos en évoquant «ceux en ont vraiment les moyens»... Qu’en est-il des «petits» développeurs ou éditeurs ?

Eric Baize : La situation n’est pas la même. Mais l'idée est de mettre ces pratiques sur la table pour permettre aux petits, jusqu’à ceux qui ne sont que deux dans garages, d’y avoir accès. Nous travaillons également beaucoup avec les universités pour que l’intégration de la sécurité dans le processus de développement relève du standard en matière d’ingénierie informatique. 

Mais ce que l'on observe aujourd’hui, c'est que la sécurité prend le même chemin que la qualité et devient justement un élément à part entière de l'ingénierie du logiciel. 

Mais attention : la sécurité du logiciel, ce n’est pas faire des tests de pénétration (pentesting) ! Souvent, on me pose cette question et ça m’exaspère. On n’a recours au pentesting dans deux cas : lorsque l’on est confronté à une équipe qui pense que, la sécurité du logiciel, ce n’est pas son problème, pour lui montrer qu’elle a tort; ou lorsque l’on touche à des produits très sensibles alors même que l’on a déjà utilisé tout ce qu’il fallait pour s’assurer du niveau de sécurité du développement. 

De mon point de vue, en dehors de ces deux cas, le pentesting, c’est du temps perdu pour un vendeur de solutions intégrant du logiciel. 

LeMagIT : Certaines méthodes de développement - je pense notamment aux méthodes agiles par rapport aux méthodes traditionnelles - se prêtent-elles plus à l’intégration de la sécurité que d’autres ?

Eric Baize : Clairement, non. Lorsque vous concevez un produit, vous détaillez un diagramme d’architecture; c’est un standard quelque soit la méthode de développement retenue après. Mais pour bien montrer que la sécurité n’est pas incompatible avec les méthodes agiles, nous sommes en train, sur safecode.org, de finaliser un document de référence sur la sécurité intégrée au développement agile. Nous réalisons ce document en partenariat avec Microsoft et Symantec. 

Pour approfondir sur Architectures logicielles et SOA