Mettre en place un programme de Security Champions

Le nombre grandissant de cyberattaques fait de la cybersécurité une étape incontournable dans la construction des projets informatiques. Introduire de nouvelles activités demandant de nouvelles compétences et n’ayant pas de plus-value métier directe dans des équipes et des processus existants peut être complexe. Comment l’approche People, Process, Technology contribue-t-elle à structurer cette prise en compte de la sécurité ?

Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?

La prise en compte de la sécurité au plus tôt lors de la construction d’un produit est essentielle, mais pas suffisante pour répondre aux exigences du CRA. Comment intégrer la sécurité dans l’usine logicielle puis en phase de run lorsque le produit est en production et/ou déployé chez les clients ?

Selon le dernier rapport de Cybersecurity Ventures [CYBERV_RAP], les coûts mondiaux liés à la cybercriminalité devraient atteindre les 10,5 trillions de dollars (9,6 trillions d’euros) par an d’ici 2025. Ces montants augmentent chaque année en raison de l'immaturité de nos systèmes, de l'industrialisation et de la sophistication croissante des attaques. Comment l’Union Européenne (via l’ENISA) peut-elle assurer la sécurité de ses entreprises et citoyens ? Le DevSecOps peut-il concrètement aider à cette sécurisation ?