kiss my frogs
Contribuer
Twitter Facebook LinkedIn RSS
[ Rechercher ]
Accueil Contribuer TwitterTwitter FacebookFacebook LinkedInLinkedIn RSSRSS

Si les cyberattaques ont une vertu, c’est celle de mettre en évidence la nature et la localisation des failles qu’il serait de bon augure de corriger sans tarder. La gigantesque attaque contre DynDNS d’octobre dernier a montré que la vulnérabilité se situait à présent du côté des startups. Comment ces dernières peuvent s’y prendre pour pallier leurs faiblesses ? Fabrice Epelboin, spécialiste de la cybersécurité et fondateur de Yogosha, nous répond sans détour avec une plongée dans le DevOpsSec.

Petit rappel : la cyberattaque contre DynDNS d’octobre dernier, qui a mis à terre des sites tels que Twitter ou Paypal, est significative à plus d’un titre. Une large partie de l’attaque est en effet le (mé)fait d’un botnet – un agrégat de machines infectées par un malware – qui a pour particularité de s’attaquer à des objets connectés utilisant une technologie vendue par Xiongmai, un fournisseur chinois, à une multitude de startups proposant des caméras connectéesAlors que la cible du botnet est une technologie identifiable, les vecteurs de la cyberattaque ne sont autres que le startups.

On voit bien le tableau : vis-à-vis de l’infosec, le monde de l’IT est aujourd’hui au même stade que que l’industrie face à son impact écologique, il y a de cela quelques décennies. Lorsqu’une usine déversait des déchets toxiques dans la nature, les externalités étaient supportées par la société, pas par l’usine. Il y a fort à parier que l’état des pratiques et réglementation va évoluer significativement dans les années à venir, comme ce fut le cas pour les émissions. Quelle pourrait être en la nouvelle donne ?

L’approche MVP : externalités négatives en cascade

Si le principe du Minimum Viable Product (MVP) et désormais incontournable pour une écrasante majorité de startups, il peut amener une startup à mettre sur le marché un produit qui présente des failles le plan de la cybersécurité. Le risque est alors externalisé tant sur les utilisateurs directs du produit (y compris les entreprises clientes) qu’un nombre indéfinissable de parties prenantes dont le lien avec le produit en question peut être très indirect. De ce point de vue, il convient a minima d’évaluer ces risques à leur juste mesure et, au mieux, de tempérer l’engouement inconditionnel pour l’approche MVP.

Il reste que cette réévaluation dépend dans une certaine mesure du type de startup concernées : les B2C, les B2B et l’IoT — championne en matière de catastrophes cybersécuritaires — n’ont pas le même profil de risque. 

« Les B2B n’ont par conséquent pas le choix : elles doivent faire de la cybersécurité une priorité en matière de développement »

Startups B2C : une obligation bientôt légale

Quand il s’agit de proposer une technologie au grand public, le risque en matière de cybersécurité – à court terme tout du moins – s’apparente à une gestion de crise et de réputation vis-à-vis des utilisateurs. Un art de plus en plus maîtrisé tant les crises se succèdent (qui ne se souvient pas du cas Ashley Madison en juin 2015 ?) et les tempêtes deviennent de mieux en mieux anticipées. À moyen terme cependant, une fois que sera appliquée d’ici 2018 la Directive européenne NIS (Network Security and Information) sur le sol français, les conséquences d’une fuite d’informations pourraient être bien plus dommageables : 4 % du chiffre d’affaires ou quelques centaines de milliers d’euros d’amende.

B2B : mieux vaut tôt que tard

Pour les startups B2B, la question est nettement plus urgente : leurs éventuelles problèmes de cybersécurité sont une source supplémentaire de failles pour leurs clients, qui ne tarderont pas à exiger des garanties, notamment via une batterie de tests destinés à passer en revue toutes les brèches potentielles. La plupart du temps, cela prend la forme d’un pentest (une campagne de test de pénétration) qui peut, si ses résultats sont désastreux, mettre fin à un contrat.

Les B2B n’ont par conséquent pas le choix : elles doivent faire de la cybersécurité une priorité en matière de développement, et ce, dès les premiers balbutiements du produit. En clair : MVP, ok, mais en matière de sécurité, vaut mieux s’assurer de la présence et solidité des bons features. Car au fil du développement du produit, leur intégration devient de plus en plus ardue et les failles — de plus en plus fatales.v

En parlant d'IoT...
…lis cette interview où Cédric Giorgi, intrapreneur chez Sigfox, explique ce qu’est vraiment l’IoT

IoT : des cyber-armes potentielles

Cela fait des années que tous les spécialistes de la cybersécurité dénoncent les failles de sécurité présentes dans la plupart des objets connectés. Depuis la cyberattaque d’une ampleur sans précédent qui a mis à terre Twitter, Paypal ou encore GitHub le 21 octobre dernier, preuve est faite qu’ils avaient raison de s’alarmer.

Avec l’IoT (Internet of Things, cf notre interview avec Cédric Giorgi sur le sujet), la cybersécurité prend une tout autre ampleur. D’une part, une large part d’objets connectés ne peuvent tout simplement pas être mis à jour, ce qui fait qu’un objet aussi banal qu’un pèse-personne peut se transformer en arme attaquant une nation du jour au lendemain, sans qu’il soit possible de faire autre chose que de le mettre à la poubelle (l’alarmisme est volontaire).

Pour comprendre leur propension aux failles, il suffit de voir ces objets comme des ordinateurs hyper-spécialisés, dont un grand nombre de configurations sont réglées par défaut par les constructeurs des composants qui constituent l’objet. C’est ce qu’il s’est passé lors de la dernière attaque : en cause, l’entreprise chinoise Xiongmai qui fabrique nombre de caméras connectées vendues sous différentes marques. Autant de caméras qui se sont transformées, une fois infectées par un malware, en cyber-armes.

Collaborer avec l’Infosec : à cœur vaillant, rien d’impossible

Infosec mantra par Yogosha art

Yogosha art

Tous ces arguments justifient qu’une startup se préoccupe de la cybersécurité dès les tous débuts. Mais comment ? Recruter illico un RSSI (Responsable de la sécurité des SI) ? Faire appel à un prestataire extérieur ? La première solution est loin d’être la plus naturelle, d’autant plus que CTO et développeurs sont en France plus souvent ingénieurs que hackers. Or, qu’est un RSSI sinon un hacker qui s’habille en costume ? La seconde possibilité est peu adaptée à la culture agile des startups : les campagnes de pentesting dont raffole les grands comptes, censées faire l’inventaire des failles de sécurité d’un produit, sont à l’antipode du lean. Elles permettent, au mieux, de faire un bilan annuel. Qui plus est, elles sont hors de prix.

Le Bug Bounty permet d’inciter la communauté de “hackers éthiques” à identifier les failles de sécurité d’un produit en très peu de temps

La solution la plus naturelle consiste à intégrer la cybersécurité – et donc les hackers – au cœur des développements, de façon à y déceler au fur et à mesure du codage les failles de sécurité d’un produit afin de les corriger aussitôt. Si l’intégration de nouveaux profils dans un cycle de développement agile n’est pas forcément chose aisée, les évolutions technologiques ont rendu bien des choses possibles. Ces dernières ont radicalement changé la façon dont un nombre croissant de startups (et de grandes entreprises) font travailler des métiers autrefois isolés. Parmi elles, Docker, une startup française qui, faute de trouver l’amour (et du seed) en France, s’est exilée aux USA où elle a connu un succès spectaculaire.

Docker permet de repenser la collaboration entre les développeurs – ceux qui écrivent du code – et les opérateurs – ceux qui opèrent au quotidien un service en ligne –, en unifiant leurs environnements de travail. C’est ce qu’on appelle le DevOps, autrement dit l’alignement des équipes IT : voilà le soubassement du développement fullstack tant à la mode ces derniers temps. Alors, pourquoi ne pas en profiter pour intégrer une troisième profession, celle des experts en sécurité ?

Bienvenue dans le DevOpsSec

 

C’est là qu’intervient le DevOpsSec, une approche de la cybersécurité qui se plie aux contraintes du développement agile et permet d’aller vite tout en évitant bien des sorties de piste. Au coeur d’elle, le Bug Bounty : la version « crowdsourcée » des tests de pénétration venue des USA. Là où on payait auparavant les jours-hommes d’un expert en cybersécurité, on s’adresse désormais aux membres d’une communauté en leur proposant de les rémunérer à la faille découverte. En plus de son adaptabilité, cette méthode est plus économique et plus facile à appréhender en termes de coûts.

De la même façon que Docker a permis aux développeurs et aux opérateurs de disposer d’un environnement unifié pour travailler ensemble, le Bug Bounty permet d’inciter la communauté de “hackers éthiques” à identifier les failles de sécurité d’un produit en très peu de temps après qu’elles ont été codées, voire avant même leur mise en production.

Il en va également de la montée en compétences des développeurs de la startup sur la cybersécurité : grâce au laps de temps très court qui sépare la création d’un code et la détection d’une faille au sein de ce code, l’apprentissage est très rapide. De ce point de vue, le Bug Bounty constitue un avantage compétitif et un retour sur investissement très positifs, pour peu que la startup parvienne à garder ses développeurs ! Last but not least, le Bug Bounty est reconnu comme une approche sérieuse de la cybersécurité par les grands comptes, ce qui ne serait pas pour déplaire aux startups B2B qui chercheraient à rassurer leurs premiers gros clients. Quant aux futurs produits B2C sécurisés par des communautés de hackers et vu le hype qui a envahi les représentations culturelles des hackers (il n’y a qu’à voir Mr Robot), ils auront de quoi séduire.

L’IT de demain : sécurité et confiance

Il n’y a pas si longtemps, le grand public a découvert qu’Internet était un fantastique outil de surveillance des populations et d’espionnage industriel. Depuis, une multitude de révélations, prenant pour l’essentiel la forme de fuites de fichiers informatiques, ont sapé un élément fondamental sur lequel reposent aussi bien les marchés financiers, les démocraties occidentales que les technologies : la confiance. Les conséquences financières de cet effondrement de la confiance se chiffrent, pour l’industrie de l’IT et plus particulièrement du Cloud américain, en centaines de milliards de dollars. Ce n’est qu’un début.

Sans confiance, pas de business – ceux qui pensaient que Snowden n’avait soulevé qu’un enjeu démocratique en seront pour leurs frais. À ce stade, la sécurité est devenue, dans l’IT comme ailleurs, la condition sine qua non de la confiance, sans laquelle plus grand chose n’est possible.

Summary
Infosec & Startups, il va falloir s'aimer
Article Name
Infosec & Startups, il va falloir s'aimer
Description
Infosec, si les cyberattaques ont une vertu, c'est celle de mettre en évidence les failles. L'attaque contre DynDNS a montré la vulnérabilité des startups.
Author
Publisher Name
Kiss My Frogs
Publisher Logo
Publié le 2 février 2017 -

Les commentaires sont fermés pour cet article