Lorsqu’elle abordent le développement de nouveaux projets informatiques, les entreprises doivent faire face à une réalité : celle de leur vulnérabilité aux cyberattaques.
En effet, l’exposition croissante des services numériques (interconnectés et ouverts sur internet) facilite la tâche aux cybercriminels : les applications autrefois hébergées localement sont majoritairement devenues des plateformes SaaS, hébergées sur le Cloud. Il en est de même dans l’industrie 4.0 : des équipements industriels (OT), des machines à commandes numériques par exemple, communiquent aujourd’hui vers l’extérieur pour faciliter les actions de supervision et de maintenance. Cette multiplication des points d’accès, aussi appelés “surface d’attaque”, donne aux attaquants davantage d’opportunités pour exploiter les vulnérabilités présentes dans les pare-feux, les équipements réseau, les configurations de serveurs ou les accès distants mal sécurisés.
Pourtant, dans le domaine de la gestion de projet informatique, la cybersécurité est souvent reléguée “en bout de chaîne”. Elle intervient au moment où corriger les failles structurelles devient complexe, coûteux, et contre productif.
Pour endiguer ce problème, les entreprises peuvent maintenant appliquer le principe de Security by Design. Un concept fondé sur l’intégration de la cybersécurité dès la phase de conception d’un projet, au même titre que les premiers choix technologiques ou d’infrastructure.
Quels sont les bénéfices de cette approche proactive de la cybersécurité ? Est-ce qu’elle engendre des coûts supplémentaires ? Comment appliquer ces bonnes pratiques à vos projets informatiques ?
Dans cet article, les experts Evicys explorent pour vous les enjeux, les freins et les leviers qui permettent d’intégrer le Security by Design à vos projets informatiques.
Qu’est-ce que le concept de Security by Design ?
L’Agence Européenne pour la Cybersécurité (ENISA), définit le concept de Security by Design, comme le fait pour « tous les produits connectés, ainsi que les services associés, d’intégrer des fonctionnalités de sécurité adaptées dès les premières phases de leur conception, tout au long du processus de développement, et avant leur mise sur le marché ».
Adopter le Security by Design, c’est donc considérer la cybersécurité comme un prérequis fonctionnel, sans lequel votre projet ne serait pas viable.
Une solution « secure by design » tient compte des menaces identifiées en amont, et repose sur une architecture qui respecte les principes de cybersécurité. Tout au long de la production, des contrôles seront prévus pour tester la résilience du projet face aux cybermenaces en tenant compte du respect du cahier des charges initial.
Le concept est promu par des agences gouvernementales et européennes reconnues comme le NIST (Etats-Unis) et l’ENISA (Europe). L’ANSSI (France) intègre les principes « sécurité dès la conception » à ses guides de bonnes pratiques pour la sécurité numérique.
La cybersécurité par anticipation, plutôt que par réaction.
En matière de gestion de projet informatique, la démarche traditionnelle consiste à concevoir un projet, tester ses fonctionnalités et services, le sécuriser puis le livrer tout en le gardant en maintien opérationnel. Ce modèle dépassé considère la cybersécurité comme un correctif, plutôt qu’un pré-requis de base. Un traitement tardif des failles de sécurité laisse persister des vulnérabilités structurelles et, dans certains cas, impossibles à corriger.
Face à l’augmentation des cyberattaques, l’Union Européenne réagi et développe actuellement le Cyber Resiliance Act, un texte de loi qui obligera les entreprises développant des logiciels et services numériques à intégrer par défaut le concept de Security by design.
Pourquoi penser la sécurité dès la conception d’un projet informatique ?
Adopter une démarche Security by Design offre des avantages tangibles. Un premier bénéfice évident est le gain significatif de sécurité. Les dispositifs conçus dans le respect des principes de la cybersécurité seront logiquement plus robustes face aux attaques. Le fait de durcir le projet, par l’utilisation d’un bastion par exemple, augmente fortement la difficulté à pénétrer des réseaux. Il stoppe également les tentatives de déplacement latéral, méthode de déplacement plébiscité par les ransomwares.
L’autre bénéfice du Security by Design, non négligeable, est économique : selon un rapport de la société IBM, corriger une faille de sécurité lors de la phase de production coûte entre 6 et 30 fois plus cher qu’un ajustement anticipé en phase de conception. Plus la sécurité est intégrée tôt au projet, plus les coûts de remédiation diminuent.
En réduisant les correctifs et modifications tardives, cette approche accélère la réalisation des projets informatiques. Résultat : un cycle de production plus fluide, un time to market et des délais de livraison optimisés.
Enfin, concevoir une solution « Secure by Design » renforce la confiance des parties prenantes. Vos clients et partenaires attendent des garanties de sécurité fortes. Selon votre secteur d’activité, les obligations réglementaires en vigueur peuvent vous inciter à renforcer votre cybersécurité. Dans tous les cas, une infrastructure « Secure by Design » reflète pour vos interlocuteurs l’image d’une posture de cybersécurité mature et rassurante.
Les freins à l’application du Security by Design
Malgré ses bénéfices reconnus, l’adoption du Security by Design est inégale. Elle se heurte à des obstacles techniques, mais aussi organisationnels, enracinés dans les pratiques historiques de travail en silo. Appliquer cette méthodologie implique des changements conséquents pour certaines entreprises.
Cohabiter avec la dette technique
Nombre d’infrastructures et systèmes d’information ont été conçus à une époque où la sécurité n’était pas un enjeu prioritaire. Leur bon fonctionnement repose en partie sur des protocoles obsolètes, parfois dépourvus de mécanismes de sécurité basiques, comme le chiffrement. Intégrer des points de contrôles dans ces environnements soulève des défis d’interopérabilité et de rétrocompatibilité : une mise à jour de sécurité peut interrompre les échanges entre deux machines , ou même compromettre les fonctionnalités essentielles d’une application. À cela s’ajoute la complexité croissante des environnements informatiques actuels — infrastructure cloud hybride, APIs, objets connectés, microservices — qui multiplient les vecteurs d’attaque et rendent la modélisation des risques complexe.
La pression de mise en production bloque l’application des concepts de cybersécurité
La pression sur les délais, la nécessité de rentabilité peuvent inciter les entreprises à favoriser la mise en production, au détriment de la sécurité informatique. De plus, le manque de formation des techniciens et développeurs aux principes fondamentaux de la sécurité informatique limite leur capacité à les appliquer de façon systématique.
Les bonnes pratiques en matière de Security by design
Les entreprises qui souhaitent mieux intégrer la cybersécurité à leur gestion informatique doivent formaliser leurs choix techniques, faire appel aux bonnes expertises et documenter les arbitrages effectués. C’est une posture de rigueur et d’anticipation, qui se traduit par des actions concrètes.
Une infrastructure « Secure by Design » limitera par tous les moyens sa surface d’attaque. Cela implique de cloisonner les environnements de test et de production, de restreindre les accès (règle du moindre privilège) et d’activer toutes les configurations de sécurité pertinentes.
Il est indispensable de mettre ces mécanismes de défenses à l’épreuve en réalisant des audits et tests de vulnérabilité, à chaque étape du projet ou évolution majeure du dispositif.
Enfin, une approche sérieuse de la sécurité requiert une gouvernance adaptée. Des indicateurs clés, comme le temps moyen de remédiation, permettent de mesurer l’efficacité de votre posture de cybersécurité et de l’ajuster si nécessaire.
Renforcez la cybersécurité de vos projets informatiques avec Evicys
Pour être efficace, la cybersécurité doit devenir une responsabilité collective. Cela suppose une convergence des expertises : toutes les équipes seront amenées à dialoguer, dès le lancement d’un nouveau projet.
Faire appel à un cabinet de conseil en cybersécurité comme Evicys vous permet de bénéficier d’une solide expérience en gestion de projets intégrant le concept de Security by Design.
Nos RSSI ont une expérience éprouvée de la cybersécurité, enrichie par des interventions dans des contextes variés. Aujourd’hui, nous sommes capables d’anticiper les risques et d’adapter l’approche Security by Design au contexte de chaque entreprise.
Audit ponctuel, appui à la structuration de projet, ou accompagnement continu avec l’appui d’un RSSI à temps partagé : Evicys conseille, pilote et renforce la cybersécurité des PME et ETI.
Prenez contact avec nos experts pour un premier diagnostic.
