Vidéo: Table ronde: comment créer un programme de sécurité (Novembre 2024)
SAN FRANCISCO - Un panel de conférences RSA composé de deux personnes a abordé de front une question provocante: la sécurité des logiciels est-elle une perte de temps pour la plupart des entreprises?
Personne ne suggérait aux entreprises d’ignorer les bogues de leurs produits, mais la question était plutôt de savoir comment et quand les correctifs devaient être apportés.
Microsoft, Adobe et quelques autres entreprises préconisent un cycle de vie de développement logiciel sécurisé, dans lequel les problèmes de sécurité sont résolus à toutes les phases du développement. Il existe encore de nombreuses entreprises qui pensent que le temps et l'argent consacrés à ces initiatives de sécurité logicielle pourraient être utilisés ailleurs, et il est dans leur intérêt de corriger les bogues après l'envoi des produits.
D'une part, il existe des sociétés telles qu'Adobe, qui doivent faire face à des pirates informatiques déterminés à exploiter les vulnérabilités du logiciel. "Un exploit qui fonctionne contre Reader ou Flash met en danger plus d'un milliard d'ordinateurs", a déclaré Brad Arkin, de Adobe, au panneau. "Le coût de la résolution de ces problèmes est si élevé que nous devons investir tout ce qui est en notre pouvoir pour résoudre ces problèmes avant l'expédition", a-t-il déclaré.
De leur côté, John Viega, vice-président exécutif de SilverSky, anciennement Perimeter E-Security, estime que les entreprises ne verront jamais revenir sur leurs investissements. "Pour la plupart des entreprises, cela coûtera beaucoup moins cher et servira mieux leurs clients s'ils ne font rien jusqu'à ce que quelque chose se produise. Vous feriez mieux d'attendre que le marché vous incite à le faire", a déclaré Viega.
Trop cher
Viega n'était pas simplement opposé et en désaccord avec Arkin d'Adobe. Auparavant, il travaillait sur la sécurité des produits chez McAfee et "dans la mesure où nous avons pu le mesurer, il s'agissait d'un véritable gaspillage d'argent", a-t-il déclaré.
Par exemple, un an, McAfee présentait trois failles de sécurité révélées publiquement, dont le coût total était inférieur à 50 000 dollars, a déclaré Viega. La figure inclut toutes les communications et le temps nécessaire pour développer et tester le correctif. En revanche, un programme complet de sécurité logicielle a coûté à la société des millions de dollars en coûts directs, et plus encore en coûts indirects, tels que la perte de productivité, a-t-il déclaré. Autant qu'il puisse en juger, la compagnie "a rendu le travail du méchant un peu plus cher", mais pas suffisamment pour justifier les coûts.
"Il y a toute une catégorie de sociétés pour lesquelles rien n'a de sens", a déclaré Viega.
Bien que la sécurité soit importante, elle ne devrait pas être la force motrice, a suggéré Viega. Il a comparé la situation à l'industrie automobile. Si la sécurité était "primordiale", alors "nous aurions des voitures qui ne dépasseraient pas 5 miles par heure", a-t-il déclaré. Examiner les coûts économiques aide à déterminer où les compromis devraient être.
Pour Adobe, l'attente coûte trop cher. Elle veille donc à ce que la sécurité logicielle occupe une place prépondérante dans le processus de développement du produit: conception, conception, codage, test et déploiement. La société organise une formation approfondie à la sécurité pour tous ses ingénieurs, quels que soient leur niveau de compétence et d'expérience, afin de garantir à tous que la sécurité est analysée de manière unifiée.
Réparer Chaque Petit Bug
Arkin a pris soin de souligner que, si la société passait beaucoup de temps et de ressources à rechercher et à corriger les vulnérabilités au cours du processus de développement, l'objectif n'était pas d'éliminer tous les bogues possibles. C'était une meilleure utilisation de l'énergie et de l'argent de l'équipe pour s'attaquer aux catégories de bugs, a-t-il déclaré.
"Si vous corrigez chaque petit bogue, vous perdez le temps que vous auriez pu utiliser pour atténuer des classes entières de bogues", a-t-il déclaré.
Les clients n'ont généralement aucun moyen de savoir quelle entreprise est une entreprise de livraison ou de réparation, a déclaré Viega. Les acheteurs ne sont pas assez avertis et ne pensent pas toujours à la sécurité de l'application lorsqu'ils évaluent leurs achats, a-t-il déclaré. "Hé, les gens utilisent encore Adobe", a déclaré Viega.
Pourrait-il y avoir une sorte de norme permettant de savoir si un logiciel donné est un produit «correct it» ou non? Viega n'a pas exclu la possibilité, notant que même une bouteille d'eau porte une étiquette avec des informations nutritionnelles imprimées.
