En tant que client, il est parfois difficile de se faire une idée sur le niveau réel de mise en œuvre de la Cybersécurité dans une solution logicielle. Comment aller au-delà des présentations commerciales tout en restant dans des opérations non intrusives ? C’est ce que vous propose cet article.
Le cadre légal concernant les atteintes à la cybersécurité
Avant de rentrer dans le vif du sujet, un petit rappel sur le cadre légal. La législation française est très précise sur les atteintes aux systèmes de traitement automatisé de données (STAD). Le code pénal précise plusieurs points :
- 323-1 Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de 3 ans d’emprisonnement et 100 000 € d’amende
- 323-2 Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 150 000 € d’amende
- 323-3 Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de 5 ans d’emprisonnement et de 150 000 € d’amende
- 323-7 La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.
Il est donc hors de propos de tester le niveau de cybersécurité des plateformes en recherchant des vulnérabilités ou des failles présentes, c’est tout simplement illégal !
Si vous souhaitez approfondir le volet juridique concernant la Cybersécurité, nous vous conseillons la lecture du Code de la Cybersécurité aux éditions Dalloz.
Quels outils pour évaluer le niveau de cybersécurité d’une solution ?
Comme nous venons de le voir, il est n’est pas question d’aller scanner un site internet, mais de simplement naviguer et analyser les informations ainsi recueillies. En effet, plusieurs éléments permettent de déterminer si des mesures relevant des bonnes pratiques de développement sont mises en œuvre. Nous allons pour cela nous appuyer sur différents outils en ligne gratuits. L’avantage d’une telle approche, outre le fait qu’elle n’est pas intrusive, permet de reproduire et de comparer facilement différentes solutions.
Retrouvez 10 bonnes pratiques pour naviguer en sécurité sur internet
Mozilla Observatory
Ce site attribue une note comprise entre A+ et F, F étant la pire en fonction de différents éléments présents lors de la navigation. Seront évaluées par exemple la protection des cookies, l’implémentation de CSP ou encore de https. Il s’agit donc d’évaluer la mise en œuvre de mesures préventives. Tous les sites Web commencent avec un score de base de 100 et reçoivent des pénalités ou des bonus à partir de là. Le score minimum est 0, mais il n’y a pas de score maximum.
- Résultat du test de la plateforme collaborative Whaller
SNYK
Ce site attribue lui aussi une note comprise entre A+ et F. Celui-ci va notamment s’assurer que les librairies Javascript utilisées ne présentent pas de vulnérabilités connues. Il teste également que les en-têtes comportent bien les éléments suivants :
- strict-transport-security
- x-content-type-options
- x-frame-options
- content-security-policy
- x-xss-protection
- Résultat du test de la plateforme Whaller
Immuniweb
Ce site comme les précédents va tester la bonne implémentation des bonnes pratiques de cybersécurité mais va également s’assurer de la conformité aux exigences du RGPD.
- Résultat du test de la plateforme collaborative Whaller
Ces différents outils permettent de se faire une opinion sur les bonnes pratiques de Cybersécurité mises en œuvre de façon autonome et reproductible. Elle facilite la comparaison en toute transparence des offres disponibles sur le marché.
La Cybersécurité, il y a ceux qui en parle et ceux qui la mettent en œuvre.
0 commentaires