Chaque grande violation de sécurité qui fait les gros titres était le résultat d'une décision prise — ou évitée — bien plus tôt dans le processus de développement. Pas un hacker plus sophistiqué que prévu. Une décision qui a échangé la sécurité contre la vitesse.
La dette de sécurité est différente de la dette technique
La dette technique vous ralentit. La dette de sécurité crée de la responsabilité. La différence est fondamentale : les coûts de la dette technique sont graduels et prévisibles. Les coûts de la dette de sécurité sont soudains et catastrophiques.
“La sécurité n'est pas quelque chose que vous ajoutez à un système. C'est quelque chose que vous avez soit intégré à un système, soit non. Vous pouvez corriger des vulnérabilités, mais vous ne pouvez pas retrofitter une architecture de sécurité.”
Le principe du modèle de menaces d'abord
L'architecture de sécurité commence par la modélisation des menaces : un examen systématique de ce que vous protégez, qui voudrait l'attaquer, et quels sont leurs vecteurs d'attaque les plus probables.
Le cadre pratique
- Classifiez vos données : quelles données, si exposées ou corrompues, causeraient le plus de dommages ?
- Cartographiez votre surface d'attaque : chaque interface externe, chaque frontière d'authentification est un vecteur d'attaque potentiel.
- Appliquez la défense en profondeur : aucun contrôle de sécurité unique ne devrait être la seule barrière entre un attaquant et des données sensibles.
- Testez régulièrement : les hypothèses de sécurité se dégradent.