Traditionnellement, les organisations concentrent leurs efforts de sécurité vers la fin d’un cycle de développement et de publication. Bien que cela puisse garantir que le reste du logiciel atteint un certain niveau de stabilité, des risques et des vulnérabilités élevés subsistent.
Shift Left Security est un remède à ce problème : implémentez la sécurité le plus tôt possible dans votre cycle de développement logiciel (appelé par conséquent « gauche ») et faites-le dès le début. Cela vous évite les maux de tête et économise beaucoup de coûts souvent inconsidérés après la sortie de l’application. C’est la pierre angulaire la plus importante de votre solution pour le monde numérique.
Décaler vers la droite : gérer la sécurité vers la fin du développement n’est plus une option
Au fur et à mesure qu’une application mobile (ou une solution) passe par les différentes étapes de conception, de conception, de développement, de construction, de test et enfin de téléchargement sur l’App Store, l’ajout de la sécurité était souvent simplement considéré comme la dernière étape. En plus de cela, du temps et des coûts de développement supplémentaires se produisent. Malheureusement, parfois, la sécurité a simplement été mise de côté pour répondre aux exigences de délai de mise sur le marché.
Il existe de nombreux exemples où la sécurité a été introduite à la dernière étape d’un projet, c’est-à-dire garder la sécurité plutôt à droite. Cela a un impact négatif énorme sur votre projet : immédiatement avec la sortie de l’application, les risques et les vulnérabilités sont également publiés. Ils sont trouvés par des chercheurs en sécurité ou des pirates informatiques. Dans le meilleur des cas, un retour d’information est donné aux développeurs et dans le pire des cas, les connaissances sont mal utilisées. Dans ce dernier cas, les violations de la conformité et les atteintes à la réputation peuvent se produire instantanément – aucun avertissement préalable ne sera donné !
Shift Left Économie de la sécurité – son importance !
Shift Left Security est guidé économiquement par l’analyse des processus de développement logiciel et la phase de maintenance qui s’ensuit. Résoudre les problèmes après la sortie de l’application mobile coûte environ 20 fois plus cher que si le problème avait déjà été reconnu et résolu lors de la phase de définition du projet. Il s’agit simplement de l’aspect développement des coûts, comme le montre une étude (Japers Jones, A short history of the cost per default metric, 2013).
L’impact financier d’une violation de la sécurité est souvent négligé, oublié ou exclu de ces discussions sur les coûts : dommages indirects, coûts de cyberattaque (et de récupération) et frais de litige. Lorsque l’on considère également ces coûts, une étude ultérieure (Capers Jones, Achieving Software Excellence, v7, 2016) montre qu’un logiciel de mauvaise qualité peut être jusqu’à 2000 fois plus cher que d’investir dans un logiciel de haute qualité dès le départ. Dans cet exemple, les coûts des cyberattaques contribuent à environ 45 % des négligences dans la qualité des logiciels.
L’essence de tout cela : nous devons nous concentrer sur de bons logiciels et sur la création de bonnes solutions, plutôt que de trouver des fraudes par la suite et de dépenser de l’argent pour des mesures d’atténuation. La sécurité Shift-Left signifie : plus tôt vous le faites correctement, moins vous avez de frais par la suite.
Les gagnants de la sécurité se concentrent sur les meilleures pratiques
Shift Left Security est une bonne pratique. Dans votre cycle de vie de développement logiciel (SDLC), vous devez penser à l’architecture et à une conception sécurisée dès le début. La conception sécurisée doit inclure la modélisation des menaces, ce qui vous aide à définir la ligne de base et à évaluer les contrôles de sécurité requis.
« La sécurité ne peut être atteinte que lorsqu’elle a été conçue. Appliquer des mesures de sécurité après coup est une recette pour un désastre » (« Les six piliers de DevSecOps : Automation », 2020), a déclaré la CSA (Cloud Security Alliance) à propos de la sécurisation de la conception. . Un commentaire très valable pour tout projet de développement logiciel.
Comme l’a dit Christian Schläger, PDG de Build38, dans une récente interview de PwC : « Donc, plutôt que de passer la serpillière par la suite et de consacrer des ressources SOC et de nombreuses heures d’analystes à des analyses médico-légales, j’aimerais voir davantage de logiciels et de solutions de qualité qui ne peuvent pas être piraté aussi facilement.
En un mot : il est tout simplement trop tard pour découvrir ce qui est arrivé à une application mobile après sa sortie : plus d’argent est dépensé pour réparer, tester à nouveau et publier à nouveau l’application !
Shift Left Security – faites-le bien, dès le début !
Shift Left Security est le nouveau paradigme et votre meilleur programme de protection des investissements que vous puissiez avoir. Il vous aide à économiser de l’argent tout au long du cycle de vie d’une application mobile. Il vous aide également à reconsidérer comment, où et quand la sécurité doit être intégrée dans votre projet d’application.
Shift Left Security est également un élément crucial de vos considérations pour devenir conforme : au règlement eIDAS, au prochain règlement sur les dispositifs médicaux (MDR) en 2021, au règlement DiGA, à PSD2, etc. Il s’agit de mettre en œuvre des contrôles de sécurité.
Build38 vous donne tous les moyens de démarrer avec Shift Left Security maintenant : nous vous proposons la suite de sécurité la plus complète pour Android et iOS, et vous offrons la solution la plus rapide à intégrer sur le marché. De plus, nous vous aidons à identifier les sujets pertinents pour la sécurité, vous donnons des conseils sur la manière de concevoir les contrôles de sécurité de la bonne manière et sur les éléments à prendre en compte.
Curieux maintenant ? Alors contactez-nous et faites partie du mouvement « Shift Left Security » !