7 façons d’intégrer la sécurité dès la conception dans nos produits et services

Dans un monde interconnecté confronté à des cyberattaques croissantes, il est essentiel de veiller à ce que les systèmes technologiques soient résilients pour assurer la sécurité des individus. Depuis plus de 20 ans, Google est pionnier d’une approche sécuritaire dès la conception, c’est-à-dire que nous intégrons la sécurité à chaque phase du cycle de développement des logiciels, et non pas seulement au début ou à la fin.

Plus tôt cette année, nous nous sommes joints à l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), unissant la voix de plus de 200 de nos homologues de l’industrie, pour signer l’engagement « Secure by Design » - un engagement volontaire à atteindre des objectifs de sécurité spécifiques. Aujourd’hui, nous publions notre livre blanc intitulé « An Overview of Google's Commitment to Secure by Design », qui explique comment nous continuons à atteindre les sept objectifs de l’engagement. Ce billet de blogue présente les points saillants de ce document afin d’aider les acteurs de l’industrie à adopter ou à optimiser leurs pratiques de sécurité intégrée dès la conception.

L’approche de Google concernant les 7 objectifs de la sécurité intégrée dès la conception

1. Authentification multifacteur (AMF) : En 2023, les Américains ont perdu 12,5 milliards de dollars à cause des tentatives d’hameçonnage et des escroqueries, d’où la nécessité de mettre en place des protections telles que l’authentification multifacteur. Le parcours de Google en matière d’AMF remonte à 2010, lorsque nous avons lancé Google Authenticator et la vérification en deux étapes (2SV) pour Google Workspace. Depuis, nous n’avons cessé de progresser grâce à notre travail avec l’alliance FIDO, le programme de protection avancée, les clés de sécurité et l’inscription automatique à la vérification en deux étapes. Plus récemment, nous avons participé à la promotion de l’ouverture de session sans mot de passe avec les clés d’accès (une alternative plus sûre et plus simple aux mots de passe), qui ont été utilisées pour authentifier les utilisateurs plus d’un milliard de fois.
2. Mots de passe par défaut : Les mots de passe par défaut dans les logiciels et le matériel sont faciles à trouver par des acteurs malveillants, ce qui signifie qu’ils peuvent permettre un accès non autorisé à grande échelle. C’est pourquoi nous considérons les mots de passe par défaut comme des failles de sécurité, et avons mis en place des mesures pour limiter ce risque pour l’ensemble de nos produits. Nous utilisons un système qui relie nos produits à votre compte Google, de sorte que les appareils ne reposent pas sur des mots de passe prédéfinis. Ainsi, pour configurer des produits tels qu’un nouvel appareil domestique intelligent Nest ou un téléphone Google Pixel, vous devez vous connecter à l’aide de votre compte Google. Il en va de même pour la configuration et l’accès à nos services basés sur des logiciels. Par exemple, les services tels que Workspace et Google Cloud sont gérés par les administrateurs de l’organisation et le processus de configuration n’implique pas de mots de passe par défaut.
3. Réduction de catégories entières de vulnérabilités : Notre approche de la conception de logiciels sécurisés commence par notre structure de codage et notre environnement de développement sécurisés, ce qui nous aide à réduire des catégories entières de vulnérabilités. Google s’attaque depuis longtemps aux vulnérabilités à grande échelle, notamment les scripts intersites (XSS), les injections SQL (SQLi), les problèmes de sécurité de la mémoire et l’utilisation non sécurisée de la cryptographie, en perfectionnant ses méthodes et en adoptant des approches telles que le Codage sécurisé.
4. Correctifs de sécurité : Les fournisseurs doivent simplifier au maximum l'installation des mises à jour logicielles pour les utilisateurs. Chez Google, nous misons sur un déploiement rapide des correctifs afin de réduire les risques d’exploitation des failles par un acteur malveillant. ChromeOS illustre très bien cette approche : grâce à ses multiples couches de protection et ses mises à jour automatiques et intégrées, celui-ci reste à l’abri des rançongiciels et des virus.
5. Divulgation des vulnérabilités : La collaboration au sein du secteur est essentielle pour trouver et signaler les bogues et les vulnérabilités. Chez Google nous prônons la transparence, ce qui signifie que nous prenons des mesures proactives pour détecter les problèmes et que nous encourageons les experts en sécurité à nous faire part de leurs découvertes. Notre politique de divulgation des vulnérabilités et nos programmes de récompense des vulnérabilités (VRP) nous ont permis de travailler avec des chercheurs en sécurité pour améliorer la sécurité de nos produits. Depuis le lancement des VRP, nous avons distribué 18 500 récompenses, totalisant un montant de près de 59 millions de dollars.
6. Vulnérabilités et expositions communes (CVE) : Les CVE permettent de repérer les correctifs non appliqués par l'utilisateur. Google les utilise en priorité pour les produits qui requièrent une mise à jour manuelle. Nous publions également des bulletins de sécurité pour les particuliers et les entreprises sur divers produits, notamment Android, Chrome Browser, ChromeOS et Google Cloud. Ces bulletins détaillent les vulnérabilités et proposent des conseils pour les atténuer.
7. Preuves d’intrusions : Tout comme pour les enjeux de sécurité physique, les utilisateurs méritent d’être informés des intrusions potentielles, sans être submergés d’informations non pertinentes. Pour ce faire, nous envoyons des alertes concernant la sécurité de votre compte Google et vous proposons un Check-up Sécurité, qui contient des recommandations personnalisées et des alertes de sécurité. Pour Cloud, Google utilise des journaux d’audit afin d'enregistrer et de donner une visibilité sur les activités qui se déroulent au sein des ressources Google Cloud de ses clients. Cloud Logging aide les clients à centraliser et à conserver les journaux pendant 30 jours, avec la possibilité de les prolonger. Dans Workspace, les administrateurs de domaine peuvent utiliser l’outil d’audit et d’investigation et l’API Reports pour examiner les activités des utilisateurs et des administrateurs sur des produits tels que Gmail, Drive, Docs et Chat. Les entreprises peuvent tirer parti des fonctionnalités d’Android Enterprise, telles que les journaux d’audit de sécurité et les journaux d’événements du réseau, pour rechercher des preuves d’intrusion.

La sécurité intégrée dès la conception est une priorité chez Google depuis des années. Nous continuons sur cette voie et partagerons prochainement d'autres initiatives en lien avec l'engagement de la CISA. Notre livre blanc sera le premier d'une série de publications à venir. Parce que la sécurité de notre écosystème numérique est l'affaire de tous, nous encourageons les acteurs de l’industrie, les décideurs et les experts en sécurité à se joindre à ce travail important. Pour plus d'informations sur la manière dont nous intégrons la sécurité dès la conception de nos produits, cliquez ici.