Il ne fait aucun doute que la prévention vaut toujours mieux que la guérison, que ce soit pour notre système immunitaire biologique ou pour la protection de nos équipements informatiques contre les attaques sournoises du "cyberespace". Dans ce contexte, une cyber-immunité robuste et infaillible "de bas en haut" est tout aussi cruciale. Cela est d'autant plus vrai dans le cas des systèmes critiques de Commend, où il est en jeu non seulement des biens matériels et financiers, mais aussi, potentiellement, des vies humaines. Pour cette raison, les ingénieurs de Commend ont depuis longtemps consacré d'importants efforts, des ressources budgétaires et des partenariats de recherche de haut niveau à la mise en œuvre du principe "Privacy and Security by Design" comme norme pour le développement des produits Symphony basés sur le cloud. Par conséquent, la sécurité informatique est intégrée dès les premières étapes du développement des produits, faisant ainsi partie de leur essence technique.
Renforcement de la sécurité par la recherche : Coopération en matière de R&D sur les produits avec SBA Research pour repousser les limites de sécurité informatique chez Commend
Une sécurité renforcée grâce à une détection anticipée
Afin de maintenir un niveau de protection durablement élevé, les ingénieurs logiciels et les experts produits de Commend collaborent activement avec des partenaires de recherche comme SBA Research. Ces partenariats font partie d'un projet global, le "Symphony : Intercom as a Cloud Service", parrainé par l'Agence autrichienne de promotion de la recherche (FFG). En partenariat avec SBA Research, un institut de recherche de pointe basé à Vienne et spécialisé dans l'informatique, Commend a conclu avec succès une nouvelle étape du projet. Depuis mars 2022, l'équipe commune d'experts s'est concentrée sur les aspects cruciaux de la sécurité dans le développement des logiciels de Commend. Leur principal objectif était d'intégrer la capacité à mener des analyses et des tests de sécurité systématiques et approfondis dès les premières phases de conception des produits et des modules logiciels.
"Pour un développeur de solutions Cloud-natives comme notre plateforme Symphony, cette capacité est essentielle", déclare Klaus Hirschegger, responsable de projet chez Commend. "La collaboration avec SBA Research nous a permis de mettre en place des méthodes pour évaluer les risques potentiels des différentes parties de notre logiciel dès les premières phases du processus de codage. Cela nous permet d'apporter les ajustements nécessaires et de prendre les mesures de précaution appropriées avant de progresser vers la prochaine étape. Techniquement, cela s'appelle une "approche shift-left", ce qui signifie que les tests de sécurité ne sont plus effectués à la fin du développement, comme c'était le cas auparavant. Au lieu de cela, ces tests sont réalisés à des moments clés tout au long du processus de développement, ce qui constitue une méthode efficace pour prévenir les failles de sécurité dans le produit final."
Tout cela est facilité grâce à l'exploitation des dernières recherches dans des domaines tels que la modélisation mathématique et les tests de sécurité, comme le propose le groupe de recherche MATRIS. "Je suis toujours fasciné de voir comment la recherche et les méthodes issues de collaborations internationales sont intégrées dans des produits et des services pratiques. Les systèmes et les processus industriels particulièrement complexes bénéficient énormément de ce type de synergies", déclare Reinhard Kugler, chef de projet chez SBA. "Un éventail de connaissances provenant de divers domaines, comme les tests de sécurité, l'apprentissage automatique ou la modélisation des menaces, constitue la base nécessaire. Ces connaissances sont combinées pour permettre des évaluations et des tests de sécurité dès la phase de conception et de design, avant même que la programmation ne commence. De plus, cela permet à l'ingénieur logiciel de suivre les flux de données jusqu'aux lignes de code responsables de leur génération."
Résultat : Une qualité assurée grâce à la recherche
"Ce projet a été un véritable succès et très enrichissant. Il a répondu à toutes les exigences en termes de contenu, de direction et de préparation", déclare M. Kugler. "L'un des points forts a été la collaboration entre les experts technologiques lors des ateliers. Tous les aspects du produit et toutes les zones de production ont été minutieusement examinés pour identifier les éventuelles failles de sécurité." En parallèle, l'architecture du système de la plateforme Symphony a été examinée selon les meilleures pratiques en matière de cybersécurité. Tout au long de ce processus, elle a été soumise à de multiples attaques de piratage lors de nombreux cycles de tests d'intrusion. Le résultat final est particulièrement encourageant : une robustesse remarquable ! Selon M. Kugler, qui lui-même est passionné par les tests d'intrusion, "le système de sécurité de Symphony n'a rencontré aucune difficulté à contrer les attaques". Michael Thalhammer, responsable de la recherche et du développement chez Commend International, se montre également très satisfait des résultats. "Ce partenariat de recherche a vraiment été fructueux", déclare-t-il. "Il nous permet de maintenir un niveau d'assurance qualité complet pour tout l'écosystème de Commend et ses systèmes. Nous sommes extrêmement satisfaits des résultats obtenus. Il est évident, ajoute-t-il qu'une protection cybernétique parfaite à 100 % est un idéal difficile à atteindre. Cependant, grâce aux dernières avancées en recherche qui nous aident à appliquer le principe de "Privacy and Security by Design", nos clients peuvent être assurés que nous nous en approchons."
