L’approche « Secure by design » en cybersécurité

Le concept de Secure by Design (ou parfois appelé Security by Design) est issu de l’ingénierie logicielle et des disciplines de la cybersécurité. Il s’est progressivement formalisé à partir des années 1970-1980, notamment avec les premières approches de modélisation des menaces et d’architecture sécurisée.

Ce principe a émergé face à l’augmentation des cybermenaces et à la prise de conscience que la sécurité ne peut pas être un simple ajout a posteriori. L’idée centrale est d’intégrer les bonnes pratiques de sécurité dès la phase de conception d’un système, afin de limiter dès le départ les surfaces d’attaque et d’assurer une protection robuste des données et des infrastructures.

L’expression « by design » signifie « dès la conception ». Dans le cas de Secure by Design, cela implique que la sécurité est considérée comme un élément intrinsèque de l’architecture du système. Elle n’est pas appliquée de manière réactive, mais pensée de façon proactive dès la phase de spécification, puis intégrée tout au long du développement, du déploiement et de la maintenance.

Cette approche inclut notamment :

• Une analyse des risques menée dès les phases initiales du projet,
• La définition de principes d’architecture sécurisée,
• L’implémentation de mécanismes de sécurité intégrés,
• La gestion continue des vulnérabilités pendant tout le cycle de vie du système.

L’approche secure by design vise à mieux protéger les produits contre les cyberattaques, en réduisant la probabilité d’exploitation d’une faille. Cette approche repose sur une stratégie préventive en anticipant les menaces. Cette approche permet de garantir que les systèmes sont résilients face aux attaques

Réduire les classes de vulnérabilité (par exemple : injections SQL, XSS, buffer overflows) dès la conception permet de limiter considérablement l’exposition aux menaces. Les éléments clés à intégrer dès la conception :

• Minimiser la surface d’attaque : en limitant les fonctionnalités exposées et en réduisant les privilèges des utilisateurs,
• Mettre en place un contrôle des accès basé sur les rôles (RBAC) : afin de restreindre les actions possibles selon les profils,
• Réaliser régulièrement des tests d’intrusion (pentests) : pour détecter les failles exploitables,
• Analyser les dépendances tierces : pour contrôler les risques liés aux bibliothèques et services externes,
• Mettre en place une authentification multifacteur (MFA) : afin de sécuriser la sécurité des accès,
• Supprimer les mots de passe par défaut : souvent négligés, mais responsables de nombreuses compromissions,
• Mettre en place un système de détection d’intrusion (IDS) : pour identifier rapidement les tentatives malveillantes.

Dans un contexte où les cyberattaques deviennent plus fréquentes, une simple approche curative est insuffisante. Les entreprises doivent anticiper les risques.

De plus, la conformité réglementaire impose désormais des pratiques de sécurité dès la conception. A titre d’exemple, le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, a introduit la notion de Privacy by Design, liée à la notion de Security by Design, à l’article 25, qui impose notamment :

• L’intégration de la protection des données dès la conception,
• La mise en œuvre par défaut de mesures garantissant leur sécurité,
• La limitation de la collecte au strict nécessaire (principe de minimisation).

Au-delà du RGPD, d’autres cadres réglementaires et normatifs viennent renforcer cette exigence, notamment :

• ISO/IEC 27001 : pour la gestion des systèmes de sécurité de l’information,
• Directive NIS2 : qui impose aux opérateurs de services essentiels et fournisseurs numériques des obligations en matière de cybersécurité.
• Et plus récemment, le Règlement européen Cyber Resilience Act (CRA), introduit une obligation de cybersécurité dès la conception pour tous les produits comportant des éléments numériques (logiciels et matériels). Ce texte impose aux fabricants d’intégrer des mesures de sécurité tout au long du cycle de vie du produit, y compris la gestion des vulnérabilités post-commercialisation.

Enfin, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recommande également l’adoption de l’approche Security by Design comme pierre angulaire d’une stratégie de cybersécurité robuste.

L’intégration de la sécurité dès la phase de conception présente un bénéfice économique clair. Corriger une faille de sécurité découverte en production est beaucoup plus coûteux que de l’éviter dès la conception. De plus, les impacts d’un incident de sécurité (perte de données, atteinte à la réputation, arrêt d’activité, sanctions) peuvent être majeurs.

La sécurisation des systèmes existants reste un véritable défi. Beaucoup d’équipements anciens n’ont pas été conçus avec des exigences de sécurité modernes. Cela concerne en particulier les systèmes IoT (objets connectés), dont les mécanismes de sécurité sont souvent rudimentaires voire inexistants.

Certains protocoles industriels ou métiers sont également peu sécurisés. Par exemple, le protocole DIASER (Dialogue Standard pour les Équipements de Régulation), utilisé pour la coordination des feux de circulation, présente des lacunes en matière de chiffrement et d’authentification.

Dans ce contexte, il est essentiel de :

• Segmenter les réseaux pour limiter les déplacements latéraux,
• Mettre en œuvre une détection d’intrusion (IDS/IPS) adaptée aux environnements industriels,
• Appliquer des politiques de gestion des vulnérabilités même sur des systèmes anciens.