Alors que les cybermenaces sont de plus en plus sophistiquées et répandues, la priorité pour les organisations est à l’intégration de la sécurité au cœur même de leur technologie. D’après le baromètre CESIN 2025, 47 % des entreprises déclarent avoir subi au moins une cyberattaque significative sur l’année qui vient de s’écouler. Ainsi, la sécurité ne peut plus être qu’une simple réflexion après coup ou une case à cocher, elle doit faire partie du processus de conception et de développement dès le début.
Par Stan Nabet, Country Manager France chez Netskope
C’est le principe fondamental de « Secure by Design », un cadre développé par l’Agence de cybersécurité et de sécurité des infrastructures (CISA) qui garantit l’intégration de la sécurité à chaque étape du cycle de vie du produit.
« Secure by Design », un modèle synonyme d’engagement en plein essor
L’approche Secure by Design repose sur le principe que la sécurité doit être intégrée dès le départ dans chaque produit et service. Plutôt que de mettre en place des améliorations après la découverte de vulnérabilités, l’approche Secure by Design se repose sur le développement de systèmes sécurisés dès le départ. Cela implique d’identifier et de traiter les risques de sécurité tout au long du cycle de développement du produit : de la conception initiale au déploiement, en passant par le développement.
Bien qu’il n’ait été signé à l’origine que par 68 entreprises, l’engagement Secure by Design initié par la CISA en mai 2024 a connu une forte progression et compte aujourd’hui plus de 200 organisations participantes, qui se sont toutes engagées à intégrer la sécurité dès les premières étapes de la construction d’un logiciel ; une démarche qui contribue également à renforcer une confiance mutuelle avec les clients. Toutefois, il est essentiel de reconnaître que le simple fait d’être signataire n’est pas une solution miracle. En effet, l’important est de prendre des mesures cohérentes et responsables afin de montrer comment la technologie s’aligne sur les principes de Secure by Design. Les entreprises doivent aller au-delà de l’engagement et prouver par leurs actions que la sécurité est ancrée dans leur culture et leur offre de produits.
La sécurité et la conformité sont des éléments essentiels de la relation client mais l’intégration de mécanismes supplémentaires pour répondre aux exigences de conformité et garantir le respect des normes de sécurité ne sont pas à négliger.
Identifier et remédier aux vulnérabilités, au-delà du Secure by Design
Afin de garantir la solidité de la structure, il est important que les entreprises n’attendent pas les audits ou les rapports externes, mais assurent elles-mêmes la responsabilité des vulnérabilités, avec une approche proactive de leur résolution.
Le programme CVE (Common Vulnerability and Exposure), une base de données accessible au public qui identifie et répertorie les failles de sécurité connues dans les logiciels et le matériel, permet aux entreprises d’évaluer la criticité de la vulnérabilité et de prendre des mesures immédiates pour y remédier. Cette approche proactive et transparente de la résolution des vulnérabilités est essentielle pour maintenir la confiance des clients et partenaires. Même si des vulnérabilités sont découvertes, l’organisation peut ainsi veiller à ce que les problèmes soient rapidement traités et corrigés afin de protéger les données et l’intégrité des clients.
L’initiative Secure by Design représente un changement important dans la manière dont les organisations envisagent la cybersécurité. En faisant de la sécurité un élément fondamental du développement des produits, elles peuvent réduire les vulnérabilités et atténuer les risques avant qu’ils ne deviennent des problèmes importants. Cependant, l’engagement Secure by Design n’est qu’une partie d’un cadre de sécurité plus large. Les entreprises se doivent d’identifier les vulnérabilités, à y remédier et à répondre aux besoins évolutifs de leurs clients en matière de conformité.
Le paysage numérique peut être complexe, mais avec un engagement en faveur de la sécurité et une approche proactive de la gestion des risques, les entreprises contribuent à construire un avenir plus sûr pour leurs clients et partenaires. La sécurité n’est pas un effort ponctuel, c’est un voyage permanent.
