Dans Décembre 2024, la Loi sur la Cyber Résilience (CRA) est entrée en vigueur en Europe, marquant le début de la période de transition pour les organisations et les entreprises pour s’adapter aux nouvelles exigences de cybersécurité. Ce document réglementaire vise à améliorer les normes de qualité et de sécurité en obligeant les fabricants et les détaillants à prendre en charge et à mettre à jour les composants numériques tout au long du cycle de vie de leurs produits. Le CRA couvre à la fois le matériel et les logiciels, affectant non seulement les fabricants européens mais aussi les importateurs, de sorte que les entreprises américaines qui exploitent ou vendent leurs produits dans les pays de l’UE seront également concernées. La législation aura un impact profond sur plusieurs segments de marché, tels que les produits Internet des objets. Alors que les entreprises ont jusqu’en 2027, date à laquelle les obligations de conformité deviendront obligatoires, l’ARC marque une étape importante dans la reconnaissance de l’importance de la cybersécurité pour une large gamme de produits et dans la création de structures qui protégeront les intérêts des clients finaux. Anton Snitavets, ingénieur principal en sécurité de l’information chez Doumo, membre senior de l’IEEE, membre de la communauté Hackathon Raptors et professionnel certifié des systèmes de sécurité de l’information, explique ce qu’implique l’approche moderne de la cybersécurité et les facteurs que les entreprises devraient prendre en compte. pour protéger leurs clients et eux-mêmes.
Le passage à une approche intégrée
Anton Snitavets souligne que la cybersécurité est devenue pour un plus grand nombre d’entreprises une partie intégrante de leurs opérations, et non seulement des mesures de protection ou des règles de sécurité imposées aux processus existants. Cela est particulièrement vrai pour les entreprises spécialisées dans le développement de logiciels. Anton a rencontré un problème similaire en 2017 lorsqu’il a commencé à travailler chez Aras Corp en tant qu’ingénieur DevSecOps. Pour améliorer le processus de développement logiciel, il a mis en œuvre le Secure Software Development Lifecycle (SSDLC), qui a rendu le processus de développement logiciel beaucoup plus sécurisé en ajoutant de nouveaux moyens de détection et d’élimination des risques de cybersécurité avant qu’ils n’entraînent des conséquences négatives. Il a intégré les solutions logicielles existantes ainsi que celles personnalisées qu’il a lui-même développées, rendant le processus de développement logiciel plus productif et plus fiable. Plus précisément, il a amélioré le processus de développement de mises à jour pour le logiciel Aras Innovator, une solution de gestion de produits d’ingénierie utilisée par les clients d’Aras, parmi lesquels de grandes sociétés d’ingénierie telles que General Motors et Airbus. En conséquence, en 3,5 ans, il a considérablement amélioré la qualité du produit, éliminé de multiples vulnérabilités du logiciel et augmenté sa stabilité et sa sécurité, ce qui est particulièrement important pour une solution logicielle utilisée pour des tâches d’ingénierie complexes. Après avoir récemment rejoint Doumo, il met en œuvre des approches similaires en tant qu’ingénieur principal en sécurité de l’information, travaillant sur l’intégration du SSDLC à l’infrastructure cloud.
« Le fait que de plus en plus d’entreprises, comme les deux mentionnées ci-dessus, concentrent des efforts importants pour rendre les processus de développement plus sécurisés souligne que pour que les mesures de sécurité soient efficaces, elles doivent devenir une partie intégrante du cycle de développement logiciel. commente-t-il. « Les entreprises qui n’ont pas encore mis en œuvre cette approche devront apprendre à l’appliquer tout au long du cycle de développement. »
Développer des solutions sur mesure
Cette évolution vers une approche plus intégrale de la sécurité de l’information entraîne un autre changement important. Les entreprises doivent développer des solutions sur mesure qui répondent précisément à leurs besoins au lieu de s’appuyer sur des solutions facilement créées. « Les solutions toutes faites ne couvrent souvent pas tous les cas et scénarios, laissant de côté des vulnérabilités spécifiques non protégées ou, à l’inverse, gaspillant les ressources de l’entreprise pour des mesures qui ne sont pas nécessaires dans un cas particulier », explique Anton Snitavets. « C’est pourquoi les entreprises ont besoin de solutions qui tiennent compte des spécificités de leurs opérations et des risques communs associés. » Son expérience fournit suffisamment d’exemples expliquant pourquoi le développement de solutions sur mesure et la prise en compte de situations et de menaces spécifiques sont essentiels, car cela améliore le processus de développement et rend le produit plus sécurisé pour l’utilisateur final. Chez Aras Corp, il a développé et mis en œuvre une solution d’analyse de code qui a permis aux développeurs de détecter des vulnérabilités telles que les injections SQL et les risques de traversée de chemin dans le code du produit, ainsi que des vulnérabilités spécifiques à un produit particulier. Après la mise en œuvre de l’analyseur, plusieurs dizaines de vulnérabilités ont été détectées et corrigées. De plus, la mise en œuvre de l’analyseur a rendu le produit plus sûr et sécurisé pour permettre aux utilisateurs finaux de développer des solutions personnalisées, leur permettant ainsi de détecter et de résoudre les risques potentiels dès les premières étapes du développement.
Anton Snitavets mentionne un autre concept essentiel que les entreprises devront adopter : elles devront se concentrer sur la prévention des menaces et agir de manière proactive au lieu de se concentrer uniquement sur leur protection contre les menaces connues et sur la réponse aux violations déjà survenues. Pour atteindre cet objectif, un système flexible d’analyse et de reporting est nécessaire, qui permettra à l’entreprise de surveiller l’état actuel de l’infrastructure, de prédire et de détecter les risques potentiels et de les éliminer avant qu’ils ne provoquent des pertes. C’est le type de travail qu’Anton Snitavets a effectué chez Jabil Inc., où il a travaillé en tant qu’ingénieur en sécurité Cloud à partir de 2022. Pour améliorer la conformité en matière de sécurité dans l’entreprise, il a développé un cadre de reporting original pour être rapidement informé de l’état de sécurité de les ressources cloud. Pour ce faire, il a adapté les normes de sécurité existantes. Il a intégré une solution logicielle pour regrouper les données sur l’état des informations cloud qui jouaient un rôle crucial dans les opérations de l’entreprise, contribuant ainsi à maintenir sa note de conformité en matière de sécurité au plus haut niveau possible.
La nécessité d’une formation continue
Il est important d’ajouter que la technologie évolue constamment et que, parallèlement aux nouvelles mesures de protection, de nouvelles menaces apparaissent. « Tandis que les professionnels de la cybersécurité développent de nouveaux moyens plus robustes et plus résilients pour protéger les données et garantir le fonctionnement stable de l’infrastructure numérique, les acteurs malveillants trouvent de nouveaux vecteurs d’attaque, essayant d’utiliser les technologies émergentes à leur avantage. » explique Anton Snitavets. C’est pourquoi il est nécessaire pour un professionnel de la cybersécurité d’apprendre continuellement, tant en théorie que en pratique, en explorant de nouvelles méthodes et solutions et en trouvant des moyens efficaces de les appliquer aux tâches à accomplir.
Tout au long de sa carrière, Anton Snitavets a suivi ce principe. Même pendant ses études, il a commencé à travailler comme développeur de logiciels, acquérant une expérience qui lui a fourni une base solide pour sa future carrière. Il a ensuite travaillé en permanence à l’acquisition de certifications professionnelles, notamment la Certified Information Systems Security Professional (CISSP), considérée comme l’une des certifications en cybersécurité les plus difficiles à obtenir.
« JEIl est important de combiner l’acquisition de certifications formelles, qui prouvent les compétences professionnelles de l’individu, avec une exploration constante des technologies émergentes et la mise en pratique des connaissances nouvellement acquises », explique Anton Snitavets. « Devenir un expert en cybersécurité nécessite un dévouement et une discipline élevés, car le coût des erreurs peut être important.
Il faut constamment aller de l’avant et agir de manière proactive pour mettre en œuvre des processus efficaces de sécurité de l’information. De nouvelles mesures réglementaires comme l’ARC pousseront les entreprises à adopter de meilleures pratiques de sécurité. Cependant, avant même de devenir obligatoire, les entreprises doivent faire progresser leur approche en matière de cybersécurité pour se protéger ainsi que leurs clients contre les menaces émergentes. «
