Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Comment les RSSI peuvent passer de la sécurité des applications à la sécurité des produits
Les équipes de sécurité des produits sont de plus en plus populaires pour l'approche de sécurité approfondie qu'elles adoptent par rapport aux équipes Appsec. Mais il y a plus à faire, notamment la création d’une culture soucieuse de la sécurité.
Que vous l'appeliez sécurité Shift-Left, sécurité intégrée ou sécurité dès la conception, les entreprises avant-gardistes comprennent aujourd'hui qu'elles doivent prendre en compte la sécurité tout au long du cycle de vie non seulement des applications individuelles, mais aussi du produit commercial qu'elles utilisent. soutien. Pour ce faire, un nombre croissant d'entreprises font appel à des équipes de sécurité des produits et à des responsables de la sécurité des produits afin d'effectuer ce changement.
La sécurité des produits étend la portée de la sécurité des applications traditionnelles bien au-delà des tests et dans les domaines de la défense des intérêts, de la collaboration entre les groupes commerciaux, de la réflexion conceptuelle, de la modélisation des menaces, de la planification architecturale et de la véritable gestion des risques. « En participant activement à chaque étape du processus de développement, l'équipe de sécurité du produit contribue à intégrer les considérations de sécurité dans la conception, l'architecture, le codage, les tests et la mise en production du logiciel », déclare Chris Roeckl, directeur produit d'Appdome. « Cette approche proactive constitue un cercle vertueux et minimise le risque de vulnérabilités et garantit que la sécurité fait partie intégrante du produit final. »
Lorsqu’elle est bien réalisée, la sécurité des produits devient un levier important pour tenir les promesses faites par les défenseurs du DevSecOps depuis des années.
Même si la sécurité des applications et la sécurité des produits partagent un objectif unique : aider une organisation à publier et à maintenir des logiciels sécurisés, le rôle que joue chaque fonction dans la réalisation de cet objectif est différent. "Appsec se concentre vraiment sur les tests, la validation et la chaîne d'outils, tandis que la sécurité des produits englobe les règles commerciales de l'ensemble du SDLC, y compris les parties humaines fragiles du développement logiciel", explique Michele Chubirka, défenseur de la sécurité du cloud chez Google.
De plus, tandis que l'équipe de sécurité des applications examine en profondeur chaque application individuelle qu'elle est chargée de renforcer, la sécurité des produits adopte une vue d'ensemble et examine de bout en bout la sécurité de l'ensemble de la pile qui permet de servir un produit donné. « La sécurité des produits est une extension de la sécurité des applications. La sécurité des applications se concentre sur la sécurisation du code et des fonctionnalités d'une seule application logicielle », déclare David Lindner, RSSI chez Contrast Security. « La sécurité des produits adopte une vision globale de l'ensemble du produit technologique, en tenant compte de l'environnement plus large et des vecteurs d'attaque potentiels qui peuvent émerger des communications entre les différents composants. »
Cet environnement plus large pourrait inclure de nombreuses applications à la fois, des composants matériels et des services associés. La sécurité des produits tient compte de leur niveau de sécurité lorsqu'ils sont déployés ensemble.
Pour certaines entreprises, la sécurité des produits peut se concentrer uniquement sur les clients externes, mais d'autres considèrent même les projets internes tels que les systèmes financiers ou RH critiques comme relevant de la sécurité des produits. Quoi qu'il en soit, les perspectives en matière de sécurité des produits sont plus globales, explique Sam Rehman, RSSI chez EPAM Systems, une société mondiale de développement de logiciels. « Cela implique une portée plus large, englobant les contrôles opérationnels et techniques, l'environnement global, l'identité des clients, ainsi que les mécanismes de détection et de réponse aux problèmes potentiels dans le service », explique-t-il.
Une façon de voir la différence est d'imaginer les applications comme des gâteaux, explique Christine Gadsby, vice-présidente de la sécurité des produits pour BlackBerry. La sécurité des applications revient à examiner un seul gâteau pour s'assurer qu'il semble sûr et exempt de contaminants avant de le servir à quelqu'un. En attendant, la sécurité des produits est le processus d'amélioration de la manière dont la boulangerie fabrique les gâteaux et des outils qu'elle utilise pour garantir que chaque gâteau est sûr et a bon goût. « La sécurité des produits est davantage une approche globale : l'ensemble du processus de cuisson du début à la fin et la garantie que vous intégrez les bonnes actions et le bon processus à chaque étape pour garantir que le gâteau a exactement la bonne composition et répond aux exigences délicates et de vos clients. peut-être une palette sensible, et reste « fraîche » tout au long de sa durée de vie », dit-elle. « En tant qu'organisation, une équipe de sécurité des produits doit prendre en compte la sécurité d'une liste complète de produits ou de systèmes et des clients qui les utilisent, qui peuvent inclure plusieurs « ingrédients » ou plusieurs gâteaux.