Les fabricants d’appareils mobiles placent la sécurité au cœur de la conception

Les fabricants d’appareils mobiles placent la sécurité au cœur de la conception

Le chercheur d'ESET Cameron Camp explique pourquoi il considère que les fabricants d'appareils mobiles doivent intégrer les enjeux de sécurité dès la conception.

Le chercheur d’ESET Cameron Camp explique pourquoi il considère que les fabricants d’appareils mobiles doivent intégrer les enjeux de sécurité dès la conception.

La sécurité évolue rarement au même rythme que le marché, car les délais de commercialisation ont préséance sur la sécurité quand il s’agit de lancer des produits. Il semble d’ailleurs plus facile d’investir dans le développement de nouvelles fonctionnalités que dans la sécurité. L’évolution fulgurante du cycle de développement des appareils mobiles ne peut qu’en témoigner. Et cette évolution est loin de ralentir. Les fabricants qui maintiennent ce rythme réussissent à vendre leurs produits à des millions d’utilisateurs, tandis que les autres voient leur marge de profits fondre, sans aucun moyen de financer les activités nécessaires pour assurer la sécurité de leurs appareils.

Il est donc facile de comprendre pourquoi la sécurité est reléguée au second plan. C’est une question de survie.

C’est aussi une question de culture. Des séances de marketing fructueuses ont tendance à générer davantage de financement que le travail d’optimisation d’un noyau. Et même si démonter un noyau pour l’étudier sous tous ses angles pouvait servir à concevoir un produit robuste et sécurisé, une équipe de développement devrait déjà être persuadée de l’importance d’une telle entreprise pour la mener à bien et, surtout, être capable de l’expliquer dans un contexte de vente. Ces personnes se font rares. Vous ne me croyez pas? Tentez d’embaucher suffisamment de ces personnes pour concevoir un appareil mobile sécurisé en respectant les délais de commercialisation.

C’EST DONC DIRE QUE LE PUBLIC DEVIENT LE GROUPE D’ESSAI BÊTA ET QUE LES PREMIERS TESTEURS BÊTA TESTENT EN RÉALITÉ LE CODE ALPHA.

Le marché secondaire doit réparer les pots cassés, ou à tout le moins composer avec la panoplie de mises à jour logicielles et progicielles qui suivent inévitablement le lancement rapide d’un appareil, et ce, parce que le fabricant a manqué de temps et d’argent. C’est donc dire que le public devient le groupe d’essai bêta et que les premiers testeurs bêta testent en réalité le code alpha.

Il s’agit là de l’état actuel de millions d’appareils mobiles. Heureusement, la situation commence à changer.

Aujourd’hui, alors que le piratage est devenu un phénomène courant, il est plus facile de justifier un solide budget de sécurité (comparativement à il y a quelques années), car davantage de consommateurs recherchent cette qualité. Il s’agit donc d’une question beaucoup plus susceptible de se poser à l’établissement d’un financement, et elle pourrait même faire l’objet d’un budget spécial dès le début.

Bien qu’on observe encore dans le marché un fossé entre les ressources consacrées au développement de produits et celles qui sont affectées au codage de sécurité, les budgets à l’interne tendent à augmenter pour ce qui est du deuxième terme de l’équation, et on voit de plus en plus de sommes débloquées pour la sécurité dès le début du cycle de développement.

Il est devenu facile de miser sur les mises à jour structurées de sécurité et la publication de versions pour vanter les mérites d’un produit. Vous n’avez qu’à observer l’exemple d’entreprises qui ont pavé la voie dans ce domaine pour voir ce qui fonctionne. Le public se sent ainsi en confiance parce qu’il sait qu’on s’occupe de lui en priorité et qu’on lui offrira une résolution prompte des problèmes qui se présenteront toujours.

Au cours des dernières années, les outils d’analyse de code sont devenus beaucoup plus robustes et faciles à utiliser, ce qui a permis d’intensifier les essais. Il est donc plus facile de créer de meilleurs codes dès le départ. Voilà pourquoi l’aversion des développeurs à l’égard des pratiques exemplaires s’est amenuisée.

LENTEMENT, LA SÉCURITÉ DES APPAREILS MOBILES CONTINUERA DE S’AMÉLIORER OU, ESPÉRONS-LE, RÉPONDRA AUX ATTAQUES ET MÊME LES DEVANCERA.

En dépit du fait que la férocité de la concurrence exercera toujours une influence sur les méthodes adoptées en développement de logiciels, de nombreuses entreprises ont déjà trouvé ce qui fonctionne de façon sécuritaire dans l’espace mobile. Par le passé, ce qu’on appelle « cycle de développement » s’est appliqué pratiquement à tout, depuis les récepteurs de télévision par câble jusqu’aux contrôleurs de feux de signalisation. Mais on n’avait jamais introduit les appareils mobiles dans un cycle de développement exhaustif. Les choses ont changé. Nul doute que vous compterez parmi les membres de votre équipe des personnes ayant une bonne idée de ce qui fonctionne et qui pourront le justifier.

La situation s’améliore. Avec les connaissances que nous avons accumulées sur la question, il n’y a plus lieu de tout réinventer. Plus besoin de développer pour s’ajuster au foisonnement de plateformes, car les choses se stabilisent. Si vous aviez auparavant cinq plateformes, vous n’en avez maintenant qu’une ou deux. Même sur une seule plateforme, vous pouvez vendre suffisamment pour réussir sur le marché.

Lentement, la sécurité des appareils mobiles continuera de s’améliorer ou, espérons-le, répondra aux attaques et même les devancera. Étant donné la sensibilisation accrue à la sécurité, vous pourriez présenter celle-ci à la direction comme partie intégrante des concepts et obtenir des décideurs les budgets conséquents. Entre-temps, si les clients continuent d’exiger une meilleure sécurité sur le marché (et que les fournisseurs continuent d’écouter), nous serons tous plus en sécurité.

Discussion