Home »  Technologie »  Virtualisation » Comment évaluer la sécurité de vos logiciels

Comment évaluer la sécurité de vos logiciels

Tech Page One

Le choix d’un logiciel n’est pas une procédure anodine pour les entreprises. De nombreux critères entrent en jeu pour répondre à tous les besoins de la société. Et la sécurité doit être une priorité.

Comment évaluer la sécurité de vos logiciels

Les entreprises sont conscientes des risques associés à l’utilisation de logiciels gratuits ou Open Source. Mais elles sont généralement davantage surprises quand elles découvrent que des applications commerciales reconnues sont également vulnérables.

« Les logiciels, qu’ils soient commerciaux ou Open Source, ont des bugs », affirme Vik Mehta, directeur des opérations de VastEdge Inc., fournisseur de solutions informatiques basé à San Francisco. D’après lui, la différence entre les développeurs de logiciels commerciaux et les développeurs de logiciels Open Source, c’est que les premiers ont tendance à résoudre les problèmes plus rapidement car leur clientèle est plus vaste et variée. Les entreprises doivent faire particulièrement attention à la sécurité lors de l’achat de logiciels.

Un conseil partagé par Sonia Cuff, directrice de Computer Troubleshooters Aspley, cabinet de consulting technologique australien pour les petites et moyennes entreprises, pour qui la sécurité des logiciels commerciaux ne doit pas être tenue pour acquise. « Le fait que tous les grands éditeurs de logiciels publient des correctifs de sécurité prouve qu’ils ne sont pas invincibles, explique-t-elle. Le nombre de scénarios que vous pouvez répliquer dans un laboratoire de test est limité. Une fois publiés en revanche, les logiciels sont à la merci des pirates, dont l’unique but est de déceler les failles ».

Évaluation des risques et choix des logiciels

Si tous les logiciels contiennent des bugs et que les menaces sont constamment présentes et en évolution, comment les entreprises peuvent-elles choisir la meilleure option ? Les experts recommandent à toutes les entreprises d’évaluer au préalable les solutions logicielles envisagées. Et dans ce processus d’évaluation, le coût ne doit être qu’un facteur parmi d’autres. « Ne vous contentez pas de regarder le prix sur l’étiquette, conseille Vik Mehta. Calculez tous les coûts et déterminez le TCO sur trois ans au minimum. » Selon le type de logiciel, les critères d’évaluation suivants doivent être pris en compte :

  • Sécurité des données
  • Coûts d’implémentation
  • Disponibilité et options du support : plus le support est disponible, mieux c’est.
  • Compatibilité avec le secteur et les processus de l’entreprise
  • Fonctions et fonctionnalités
  • Gestion des autorisations selon la fonction dans l’entreprise
  • Extensibilité et redondance
  • Interopérabilité avec les autres logiciels
  • Intégration au Cloud
  • Compatibilité du matériel et des systèmes d’exploitation

Selon Sonia Cuff, les entreprises doivent absolument consulter la documentation jointe pour s’assurer que les logiciels sont installés et configurés conformément aux recommandations du développeur. Un audit post-installation est également nécessaire pour déterminer comment les logiciels interagissent avec les stations de travail, les réseaux, internet ou le cloud. En outre, elle ajoute que les entreprises doivent surveiller quelles données d’entreprise ou d’utilisateur sont stockées par les logiciels et confirmer la sécurité de toute autorisation d’accès à distance.

Comment évaluer la sécurité de vos logiciels

Les correctifs font partie des opérations

La majorité des développeurs de logiciels intègrent au moins quelques éléments de sécurité à leurs programmes. Mais maintenir la sécurité en conditions réelles peut être compliqué puisque les infrastructures matérielles et logicielles des utilisateurs varient selon l’entreprise et évoluent dans le temps, au fur et à mesure de l’ajout ou du retrait de nouveaux composants et packages.

« La programmation sécurisée ne passe pas au second plan, mais les logiciels et infrastructures sous-jacentes sont plus complexes que jamais, ajoute Sonia Cuff. Les développeurs doivent coder en vue des menaces qu’ils connaissent, mais des tests en environnement réel et l’implication de la communauté de pirates sont nécessaires pour identifier chaque imperfection. »

Quand ces failles ou bugs sont identifiés, des mises à jour sont requises et les experts considèrent les mises à jour comme une activité normale dans l’assistance continue d’un produit. La vitesse à laquelle les éditeurs de logiciels commerciaux développent et publient des correctifs est due en grande partie à leur modèle économique : les ventes génèrent des revenus qui permettent l’évaluation continue des produits, le dépannage et l’itération. Les logiciels Open Source « ne possèdent pas les flux de trésorerie nécessaires pour offrir une assistance de niveau professionnel », ajoute Vik Mehta de la société VastEdge.

La convivialité ne peut s’échanger contre la sécurité

Pour Sonia Cuff, les éditeurs de logiciels commerciaux, même s’ils sont meilleurs que leurs homologues Open Source, ont des progrès à faire en matière de sécurité. Selon Vik Mehta, il serait judicieux d’ajouter une couche de protection en exploitant par exemple les nouvelles technologies de sécurité basées sur l’analyse Big Data.

Évidemment, les développeurs sont limités en matière de sécurité. Si des fonctionnalités qui verrouillent un programme en cas d’intrusion interfèrent avec la convivialité, les utilisateurs, peu patients, se tourneront vers des solutions qui n’entraveront pas leur travail ou leur productivité.

« Les éditeurs de logiciels doivent trouver le juste équilibre entre sécurité forte et simplicité d’utilisation », assure Cuff. « Les avertissements de sécurité ou les blocages fréquents sont une source de frustration pour les utilisateurs, au point qu’ils désactivent les fonctionnalités de protection. »

 

Michael O'Dwyer

Michael O'Dwyer

Né à Londres mais vivant à Hong Kong, Michael O’Dwyer a travaillé plus de 15 ans dans l’industrie électronique où il se spécialisait dans la gestion de la technologie informatique et l’amélioration des processus et des chaînes d’approvisionnement. Il écrit sur des sujets liés à l’informatique et d’autres sujets connexes pour divers portails web.

Derniers articles:

 

Tags:  Technologie,  Virtualisation