La sécurité by design s’impose lors de la conférence RSA 2024

Entre la manière d’adresser les failles, les initiatives stratégiques et l’essor de l’IA générative, la notion de « sécurité by design » s’est finalement avérée l’un des refrains les plus populaires lors de la grande conférence mondiale annuelle sur la cybersécurité organisée à San Francisco par RSA.

L’expression « Secure by design » fait référence au principe selon lequel les logiciels doivent être développés en tenant compte de la sécurité grâce à des cadres de développement et à des pratiques exemplaires. Bien que le concept soit loin d’être nouveau, l’approche a été présentée dans de multiples contextes différents et importants lors de la conférence RSA 2024.

L’exemple le plus frappant est sans doute l’extension par Microsoft de son initiative Secure Future (SFI) ce mois-ci, dans laquelle le géant de la technologie a promis de donner la priorité à la sécurité dans son organisation et dans le développement de ses produits « avant toute chose ». Microsoft a annoncé la SFI pour la première fois en novembre, à la suite d’une violation très médiatisée subie l’année dernière et perpétrée par l’acteur étatique chinois Storm-0558. Après la divulgation d’une autre faille en janvier impliquant l’acteur étatique russe Midnight Blizzard et un rapport cinglant du Cyber Safety Review Board publié le mois dernier, Microsoft a élargi l’initiative.

Dans un billet de blog publié vendredi, Charlie Bell, vice-président exécutif de Microsoft Security, a énoncé trois principes : la sécurité dès la conception (by design), la sécurité par défaut et la sécurité des opérations. En ce qui concerne la sécurité dès la conception, M. Bell a déclaré : « La sécurité passe avant tout lors de la conception d’un produit ou d’un service ». Lors de la conférence RSA, Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, a longuement insisté, estimant que « la sécurité doit être prioritaire », en particulier à l’ère de l’IA générative.

En effet, l’ascension continue de la GenAI dans l’industrie IT – à l’honneur lors de l’édition 2023 de la RSA Conférence – alimente également les discussions sur l’importance de la sécurité by design. En raison de l’adoption rapide de la GenAI, les organisations sont exposées au risque d’exposition ou de vol de données, d’empoisonnement de modèles ou d’attaques provenant de configurations erronées.

Les organisations des secteurs public et privé soulignent ainsi la nécessité d’accorder la priorité à la sécurité de l’IA au niveau local, au plus près de l’utilisateur.

Une étude conjointe d’IBM et d’Amazon Web Services, publiée récemment affirme ainsi que si 82 % des cadres dirigeants interrogés ont déclaré que l’IA fiable et sécurisée était essentielle, seuls 24 % d’entre eux ont inclus la sécurité comme composante de leurs projets liés à la GenAI… Par ailleurs, IBM a publié un document de travail dédié au cadrage du développement sécurisé de la GenAI.

Ryan Dougherty, directeur de programme pour les technologies de sécurité émergentes chez IBM Security, explique ainsi qu’il est essentiel d’intégrer la sécurité dans l’IA dès le départ.

Présent à la RSA Conference il est revenu pour nous sur la genèse de la réflexion d’IBM en expliquant que « l’année dernière, nous avions beaucoup parlé de ChatGPT et d’organisations qui commençaient à mettre en place un projet pilote d’IA générative. Mais cette année, nous parlons vraiment d’opérationnaliser l’IA générative en production et de l’intégrer dans une grande partie du tissu des applications d’entreprise ». Comprendre qu’en matière de sécurité l’enjeu n’est plus du tout le même… Et de préciser que « du point de vue de la sécurité, nous espérons avoir tiré les leçons du cloud computing et avoir intégré la sécurité dès le départ. Nous ne pouvons pas avoir ce décalage “secure by design”. Nous devons vraiment sécuriser dès la conception, dès le départ ».

Sarah Bird, chef de produit pour l’IA responsable chez Microsoft, précise de son côté que les cas d’utilisation les plus efficaces pour sécuriser l’IA au niveau du développement impliquent de mettre en œuvre la sécurité à un rythme lent et régulier, tout en appliquant des modèles individuels pour des cas d’utilisation plus étroits et ciblés plutôt que d’avoir un modèle d’IA unique qui essaie de tout faire.

« Les meilleurs modèles que nous voyons sont ceux qui s’appuient sur ce que l’on a déjà et qui utilisent le modèle d’une manière qui s’inscrit déjà dans ce cadre », a-t-elle déclaré. Mais il y a des gens qui disent : « Utilisons le modèle pour tout ». Le modèle sera l’orchestration, le modèle sera l’accès aux données, etc. Il faut alors tout réinventer à partir de zéro. Il est beaucoup plus difficile de sécuriser dès la conception une toute nouvelle technologie. Si le modèle joue un rôle très spécifique dans le système global, il ne faut alors s’occuper que d’un seul nouveau composant ».

La CISA, agence de cybersécurité américaine, y est également allée de ses recommandations en matière de grands principes de conception sécurisée. L’organisme a ainsi annoncé que 68 organisations s’étaient engagées à respecter son mémorandum en faveur de la sécurité by design. En s’engageant, les éditeurs ont promis de faire des progrès mesurables dans l’application des principes de conception sécurisée à leur propre organisation et de documenter publiquement la manière dont ils y sont parvenus dans un délai d’un an. L’engagement représente l’accent mis par la CISA sur cet enjeu spécifique depuis qu’elle a lancé une initiative consacrée à la sécurité by design l’année dernière.

Ivanti, qui s’est retrouvée sous le feu des critiques ces derniers mois, suite à une série de vulnérabilités de type « zero-day » qui ont été exploitées dans le cadre d’attaques très médiatisées, fait partie des signataires. Dans une déclaration transmise à TechTarget, le PDG d’Ivanti, Jeff Abbott, explique que l’entreprise était « honorée » de faire partie de l’engagement et a applaudi la CISA pour la promotion de la conception sécurisée dans l’ensemble de l’industrie.

« Ivanti met actuellement en place un plan agressif, ancré dans les principes essentiels de Secure by Design, qui modifie fondamentalement la façon dont nous concevons, développons et déployons nos produits en y intégrant la sécurité à chaque étape du développement des logiciels », explique Jeff Abbott. « Alors que notre secteur est confronté à une menace omniprésente et de plus en plus agressive, nous sommes fiers d’être parmi ceux qui agissent et nous encourageons les autres acteurs du secteur de la sécurité à relever le défi ».

Brandon Wales, directeur exécutif de la CISA, a précisé pour TechTarget que l’accent mis par l’agence sur la sécurité by design est une réponse à l’approche de type « whack-a-mole » que l’industrie de la cybersécurité joue depuis des années pour faire face à « une industrie technologique non sécurisée qui pèse plusieurs milliards de dollars ».

« Si nous pensons que la réponse aux 18 000 nouvelles vulnérabilités ajoutées en un an à la base de données nationale américaine sur les vulnérabilités consiste à essayer de les gérer, une vulnérabilité à la fois, une entreprise à la fois, dans tout le pays, nous n’obtiendrons pas le type de résultats dont nous avons besoin en matière de sécurité », précise Brandon Wales. « Lorsque nous nous sommes penchés sur ce problème, nous nous sommes dit qu’il fallait changer de culture. Nous devons résoudre ce problème à l’endroit où il peut être le mieux traité ».

Interrogé sur les raisons pour lesquelles le secteur de la sécurité met aujourd’hui l’accent sur la sécurité by design, Brandon Wales préfère poser le problème différemment.

Nous pensons que la question n’est pas « pourquoi maintenant ? ». La vraie question que nous devrions nous poser est la suivante : « Pourquoi avons-nous mis tant de temps à faire de cette question le véritable enjeu ? Nous pensons donc que le meilleur moment pour le faire, c’est tout de suite ».