Confidentialité

Pourquoi la cybersécurité doit devenir un réflexe produit ?

Product Owner
Produit
Stratégie
Ecrit par : Christian Gossart
Le
10 minutes

Les entreprises sont aujourd’hui confrontées à une réalité incontournable : protéger les infrastructures du SI ne suffit plus. Les menaces cyber ciblent directement les produits numériques, faisant de la cybersécurité un enjeu majeur pour les PO et leurs équipes. Une faille de sécurité en production, et la confiance des utilisateurs peut s’écrouler. Intégrer la cybersécurité en mode correctif, option la plus courante, génère des surcoûts et de la complexité supplémentaire. A l’inverse, la démarche “security by design” permet d’intégrer très tôt la cybersécurité dans le produit, et constitue l’alternative la plus solide. Mais par où commencer concrètement ? Quels leviers activer, et quel rôle pour le Product Owner dans cette transformation ?

La cybersécurité cherche à protéger les systèmes numériques et leurs données contre les accès non autorisés et leurs conséquences. Dans un paysage numérique où tout s’accélère, chaque fonctionnalité, intégration, ou flux de données comporte un risque potentiel. Pourtant, les équipes produit restent souvent en marge des stratégies de cybersécurité, alors qu’elles détiennent une clé essentielle : intégrer la sécurité dès la conception.

Cette approche, appelée Security by Design, consiste à intégrer la cybersécurité dès la conception du produit, plutôt que de l’ajouter a posteriori. Elle vise à réduire la surface d’attaque, sécuriser les données et anticiper les risques dès les premières décisions produit. Un produit “secure by design” nécessite d’évaluer les risques liés aux données et aux usages, et de maîtriser les composants supportant sa construction et son déploiement. Des pratiques qu’un PO et son équipe doivent s’approprier pour collaborer efficacement avec les experts cyber et garantir la confiance des utilisateurs.

La cybersécurité : un écosystème à trois piliers

La cybersécurité moderne repose sur trois piliers interdépendants pour maintenir l’intégrité d’un système d’information, et garantir la confiance des utilisateurs des produits et services.

Schéma : Représentation des 3 piliers de la cybersécurité moderne : Architecture de défense, Culture et Produit

L’architecture de défense : premier rempart contre les menaces

Son objectif est d’assurer la sécurité du SI dans son ensemble. C’est une évolution de la sécurité dite “périmétrique”, qui ne s’intéressait qu’aux frontières du SI, et aux points d’accès. Cette défense de périmètre cantonnait les questions cyber à la périphérie du SI, en se basant essentiellement sur des éléments matériels (équipements réseaux, firewalls) ou logiciels (IDS, systèmes de détection d’intrusions, et SIEM, gestion des information et des événements de sécurité). Les applications pouvaient donc évoluer sans se préoccuper de ces questions.

Aujourd’hui, avec le cloud et la montée en puissance du SaaS, la stratégie de sécurisation s’invite au cœur du SI, guidée par des principes (Zero Trust, segmentation réseau), ou par des processus normalisés (ISO 27001). Cette préoccupation devient omniprésente pour garantir l’intégrité du SI et répondre aux réglementations qui s’imposent aux entreprises. C’est le domaine des experts (cybersécurité, réseau, conformité ou processus), qui s’appuient généralement sur des solutions techniques indépendantes de l’activité de l’entreprise et des spécificités métier.

Cultiver les bons réflexes cyber

Malgré le socle solide apporté par l’architecture de défense, l’humain reste encore le principal vecteur pour compromettre un SI. Cette compromission peut être physique, comme une porte laissée ouverte, ou numérique, comme un mot de passe partagé.

Les attaquants rivalisent de créativité pour exploiter les faiblesse psychologiques et sociales des individus, et s’appuient sur des biais cognitifs que nous devons apprendre à contrer. Les techniques dites de social engineering sont très variées : phishing (mails, SMS), utilisation de deepfake pour usurper une identité, appel téléphonique d’un collègue qu’on n’a jamais vraiment rencontré... Dans tous les cas, il s’agit de profiter de la négligence d’une personne pour collecter des informations, influencer des actions, ou ouvrir un accès.

C’est le domaine de toute l’entreprise, des salariés aux fournisseurs, qu’il convient de former pour déjouer ces techniques de manipulation.

Les campagnes de sensibilisation et de tests de phishing sont à la main de l’entreprise. L’objectif n’est pas de pointer du doigt ceux qui échouent, mais de construire et diffuser une culture de la cybersécurité, qui viendra compléter l’architecture de défense du SI. In fine, chacun, individuellement, est responsable d’adopter ces réflexes.

Téléchargez gratuitement notre jeu de sensibilisation à la cybersécurité

 

Le produit numérique : le parent pauvre de la cybersécurité

Situé à l’intérieur du SI de l’entreprise, le produit numérique constitue la dernière ligne de défense avant que l’attaquant n’accède à des données ou des services critiques. Et pourtant, la cybersécurité est rarement traitée comme un enjeu majeur à ce niveau.

Image : Deux personnes travaillant sur la cybersécurité d'un produit numériques avec les 3 piliers : Architecture de défense, Produit et Culture de cybersécurité

Nous retrouvons ici trois grandes problématiques :

  • La protection des données et des assets, au regard de leur niveau de criticité
  • La sécurisation du produit lui-même (limiter la surface d’attaque, intégrer la cybersécurité dès la conception)
  • La sécurisation de la construction et du déploiement (chaîne CI/CD, confiance envers les composants tiers utilisés)

Contrairement à l’infrastructure du SI, relativement stable, un produit évolue en permanence avec des mises à jour et de nouvelles fonctionnalités, ce qui en fait un terrain privilégié pour les cybercriminels.

C’est le domaine des équipes Produit avec une responsabilité forte des Product Owners et des Product Managers. Les solutions à mettre en œuvre sont spécifiques à chaque produit, et nécessitent une bonne connaissance métier permettant d’évaluer le niveau de criticité des fonctionnalités et des données.

Les entreprises qui négligent ce troisième pilier et n'accordent pas la priorité à la sécurité de leurs produits exposent l'intégralité de leur écosystème cyber à des risques majeurs.

 

Intégrer la cybersécurité dans le produit dès la conception

Les produits comportant des éléments numériques doivent être conçus, développés et produits de manière à garantir un niveau approprié de cybersécurité en fonction des risques.
Icone : Le Cyber Resilience Act affichée sur une carte représentant l'Europe
Cyber Resilience Act
Annexe I

Analyse de risques : première étape d'un produit secure by design

Dans une approche Security by Design, un produit est sécurisé en fonction des risques qui pèsent sur son usage, sur le processus métier auquel il contribue, et sur les données qu’il manipule. Déterminer le bon niveau de sécurité à appliquer nécessite d’analyser en premier lieu ces différents éléments à travers un processus de modélisation des menaces (Threat Modeling).

Pour simplifier, il s’agit de :

  • Cartographier les assets (applicatifs, données…) et évaluer leur niveau de criticité
  • Lister les menaces potentielles pesant sur le produit, leurs motivations, et ce qui pourrait mal se passer
  • Décrire un plan de défense pour contrer les menaces identifiées

Différentes méthodes outillent aujourd’hui ce processus de modélisation, qui se doit d’être flexible et réévaluée régulièrement pour s’adapter à l’évolution rapide du paysage des menaces cyber.

Cette évaluation des risques est la responsabilité entière du Product Owner qui maîtrise le produit et ses données. Il pourra s’appuyer sur les experts cyber pour dérouler le processus en vigueur dans l’entreprise.

3 questions à se poser en tant que Product Owner pour initier la réflexion

  • Quels sont les 3 risques majeurs pour mon produit ?
  • De quelles données puis-je me passer pour limiter les risques ?
  • Comment les utilisateurs de mon produit perçoivent-ils la sécurité ?

Security by Design : concevoir un produit sécurisé dès la conception

Toutes les équipes qui ont du apporter un correctif de sécurité sur leur produit déjà construit, voire déjà utilisé en production peuvent en témoigner : l’impact sur les fonctionnalités peut être élevé, la complexité induite dans le code du produit augmente, et le niveau d’urgence et de stress entourant l’activité est rarement appréciable.

Soyons honnêtes : le mode réactif pour intégrer la cybersécurité dans un produit ne pourra jamais être complètement supprimé. Lorsqu’une faille est détectée, et que les conséquences sur l’utilisation et les données sont critiques, il faut la corriger. Mais ce fonctionnement “après-coup” est subi, au gré des vulnérabilités identifiées et des intrusions des attaquants, et doit cesser d’être la norme pour devenir l’exception. Pour cela, il faut reprendre la main et garantir le produit le plus sécurisé possible dès la conception.

Cette approche nommée Security by design (ou “sécurité par conception”) s’appuie sur des principes fondamentaux qui vont chercher à minimiser la surface d’attaque du produit, et à réduire les impacts d’un incident. Sans être exhaustif, on retiendra essentiellement :

  • Le principe de Zero Trust appliqué à la maille du produit : “ne jamais faire confiance, toujours vérifier” (utilisateur, appareil, appel de service, donnée reçue en entrée…)
  • La segmentation réseau qui cloisonne des sous-systèmes et crée des frontières de sécurité
  • La limitation des droits d’accès au strict nécessaire pour tout utilisateur, composant applicatif, script…
  • La désactivation par défaut des fonctionnalités non utilisées ou non nécessaires
  • L’identification des accès et la traçabilité des activités pour faciliter la détection des activités suspicieuses au niveau du SIEM et l’audit a posteriori
  • La minimisation et le chiffrement des données

L’équipe de réalisation est ici à la manœuvre, pour mettre en place les solutions techniques appropriées au produit, mais elle ne peut le faire qu’en étant guidé par les experts cyber (respect des outils et frameworks approuvés par l’entreprise), et par le Product Owner (représentant des utilisateurs, garant des fonctionnalités et des données). Une forte collaboration est donc nécessaire, ainsi qu’un alignement sur les risques à prendre en compte, évalués en amont.

Une chaîne de delivery sans maillon faible

Un produit sécurisé ne se limite pas à son code mis en production. Il faut aussi protéger tout ce qui contribue à sa création, sur l’ensemble du cycle de delivery. La démarche DevSecOps adresse ces aspects, et regroupe un ensemble de pratiques éprouvées.

L’inventaire des composants du produit

Utilisez des dépendances, et leur vulnérabilité devient la vôtre. L’inventaire d’un produit, c’est la liste des dépendances utilisées pour le construire (bibliothèques, SDKs, services cloud…) accompagnées de leurs versions, dans un document technique appelé Software Bill Of Materials.

Le durcissement du pipeline CI/CD

Un pipeline est la série d’étapes qui transforme le code produit par l’équipe de réalisation en un produit fini et utilisable. C’est aujourd’hui une cible privilégiée pour les attaquants. Durcir ce pipeline revient à en réduire la surface d’attaque, protéger le code, les données et les secrets manipulés. C’est le considérer comme un produit “secure by design” à part entière.

Les tests de sécurité automatisés

Ils permettent de garantir le niveau de sécurité du produit au fil de sa construction. Les tests statiques SAST analysent le code source à la recherche de failles connues. Les tests dynamiques DAST simulent l’activité d’un attaquant sur le produit déployé.

La vérification des artefacts

Les artefacts issus de la construction du produit doivent aussi être sécurisés pour éviter leur remplacement par des artefacts malveillants. Cela inclut la sécurisation de leur stockage (versions, accès), ainsi que leur signature d’intégrité.

Majoritairement techniques, ces actions sont sous la responsabilité de l’équipe de réalisation, en collaboration avec les experts cyber et ceux de l’intégration et du déploiement.

Cybersecurity is a team sport.
Photo : Theresa Payton, ex CTO de la Maison Blanche
Theresa Payton
ancienne DSI de la Maison Blanche
Traduction :

La cybersécurité est un sport d’équipe.

La sécurité, socle de la confiance

Un produit numérique non sécurisé est un produit à risque. Risque juridique (RGPD), risque stratégique (fuites de documents internes), et surtout risque d’abandon par les utilisateurs. À l’inverse, une approche Security by design renforce la crédibilité de l’entreprise et du produit, et crée un avantage concurrentiel dans un marché où la confiance devient un critère de choix majeur.

Pour les Product Owners, la cybersécurité n’est plus une contrainte, mais un levier de croissance.

Product Ownership : les impacts concrets du secure by design

Prioriser de la valeur intangible

Le Product Owner est responsable de son backlog et de sa priorisation. Mettre en œuvre l’approche Security by design, c’est alimenter ce backlog avec de nombreux items concernant les droits d’accès, la traçabilité, ou encore la sécurisation des données manipulées. Certes, ces items auront une représentation technique concrète dans le produit, mais leur finalité est généralement intangible pour les utilisateurs. Il s’agit de contrer des attaques hypothétiques et d’en limiter les impacts afin de garantir la confiance. La valeur de ces items existe, mais de manière potentielle, qui ne s’exprimera réellement que lorsqu’une faille sera révélée, ou lorsqu’une attaque se produira.

Mise en opposition des fonctionnalités classiques à valeur directe (Besoins utilisateurs, Interfaces intuitives, Expérience engageante) et celles liées à la sécurité à valeur intangible (Confiance utilisateur, Sécurité by design, Réglementations)

Le Product Owner est donc confronté à un exercice délicat : arbitrer entre de la valeur directe pour les utilisateurs (de nouvelles fonctionnalités, de l’UX améliorée), et de la valeur potentielle (de la cybersécurité). Pour une priorisation éclairée et assumée de son backlog, le PO doit s’appuyer sur deux prérequis.

Comprendre les concepts de la cybersécurité

Tout d’abord, il doit être acculturé aux fondamentaux de la cybersécurité et au sens des items associés qui composent son backlog. L’objectif n’est pas de devenir expert, chacun son métier. Mais le PO doit avoir une compréhension suffisante de ces items et de ce qu’ils impliquent pour le produit, afin de les prioriser à leur juste place au regard des autres éléments du backlog. Il est en effet responsable de prioriser tout le backlog. A défaut, il risque de subir cette priorisation et d’abdiquer une part de sa responsabilité sur le produit.

Cette acculturation peut s’initier avec une formation, et nécessitera de la part du PO une forte collaboration avec les équipes cyber et techniques, pour maîtriser un langage commun autour des risques, des techniques pour défendre le produit, et des réglementations à respecter.

 

Découvrez notre formation cybersécurité pour le PO

Trouver le compromis entre sécurité et utilisabilité

Illustration d'une balance entre la cybersécurité et l'UX : Chaque mesure de sécurité supplémentaire amène un risque de friction utilisateur et le Product Owner doit à tout moment pouvoir assumer l’impact de l’UX sur la sécurité et inversement

Bien que leur valeur soit intangible pour les utilisateurs, les mesures de sécurité intégrées dans un produit ont souvent pour eux un impact concret. Elles restreignent les accès, et freinent la productivité, avec pour conséquence un mécontentement grandissant des utilisateurs. Pour guider sa réflexion et trouver l’équilibre entre sécurisation et impact sur l’expérience utilisateur, le Product Owner doit s’appuyer sur :

  • L’analyse des risques qui pèsent sur le produit, et l’évaluation de la criticité des assets
  • L’expertise de l’équipe de réalisation et de l’équipe cyber pour proposer un choix de solutions à mettre en œuvre

Positionner le curseur au bon endroit, c’est avoir conscience des impacts aux deux extrémités de la jauge. La cybersécurité ne peut plus être ignorée par le PO, elle doit être pleinement intégrée dans sa réflexion et ses habitudes. C’est une routine du quotidien, pour choisir et prioriser de façon assumée.

La cybersécurité, un nouveau réflexe produit

Intégrer la sécurité par conception n’est plus une option, mais une compétence clé du Product Owner moderne. Avoir une approche secure by design, c’est faire de la cybersécurité un élément structurant du produit, au même titre que la valeur utilisateur ou la performance.

En adoptant une approche cybersécurité by design, vous :

  • Réduisez les risques (fuites de données, intrusions, sanctions financières)
  • Réduisez les coûts de maintenance correctives
  • Renforcez la confiance

La sécurité n’est pas un département, c’est une culture de l'entreprise !

En résumé

  • La cybersécurité moderne repose sur trois piliers interdépendants : l’architecture de défense, des réflexes à cultiver, et le produit numérique sécurisé
  • Le troisième pilier, la cybersécurité du produit numérique, est trop souvent délaissé et doit être réapproprié pleinement par les Product Owners
  • Adopter une démarche Secure by design, pour penser la sécurité au plus tôt
  • La sécurisation du produit et de la chaîne de delivery est l’affaire de toute l’équipe produit : PO, équipes de réalisation et experts cyber
  • L’évaluation de la criticité et des menaces spécifiques portant sur le produit et les données est la responsabilité entière du PO
  • La sécurité est un socle de la confiance : la négliger revient à prendre le risque de se couper de ses utilisateurs sur le long terme
  • Les Product Owners doivent changer leurs habitudes pour intégrer la cybersécurité au quotidien dans leurs pratiques et leurs réflexions

Références

Vous aimerez également découvrir

Allez plus loin avec nos formations

Téléchargements

Abonnez vous !

Qui sommes nous ?

Logo : spirale bleue du logo essensei

essensei

Coaching - Conseil - Formation

Contactez-nous

Partager cette publication sur les réseaux