Luxhub engagé dans le Security by Design
Mariage entre sécurité et agilité. Luxhub -la plate-forme européenne d’Open Banking- a misé sur le Security by Design. Excellium dans le rôle de coach.
Security by Design, d’emblée. Sécurité numérique et méthode agile de développement informatique semblent aux antipodes l’une de l’autre. En effet, si parler de sécurité numérique présuppose rigueur et procédures strictes, les méthodes agiles de développement sont beaucoup moins formalisées et peu documentées. Pourtant, démontrent LuxHub et Excellium, l’une et l’autre se renforcent.
«Les entreprises partent du principe que la mise en place de contrôle de sécurité va les ralentir dans leurs projets. Elles imaginent devoir investir des moyens conséquents sur des fonctionnalités de sécurité qui retarderaient leurs livraisons, alors que les marchés leur réclament toujours plus d’agilité et de rapidité, explique Yannick Antoine, Risk, CISO & DPO, LuxHub.. Pour autant, si un projet n’est pas correctement sécurisé, il ira droit à l’échec, parce qu’il coûtera cher à corriger a posteriori et qu’il impactera l’image de marque de la société. Pour concilier agilité et sécurité, la solution est en réalité de penser et d’implémenter la sécurité dès le début d’un projet, et non lorsqu’il est terminé. Tel est le principe du Security by Design.»
Opérationnelle depuis le 14 mars, la plate-forme Luxhub est appelée à jouer un rôle majeur en tant que facilitateur entre les banques et les fintechs. Née à l’initiative de quatre banques -BCEE, BGL BNP Paribas, Raiffeisen et POST- Luxhub a pour vocation de simplifier les démarches des acteurs financiers dans le cadre de la directive européenne PSD2, laquelle fait tomber les barrières pour les nouveaux concurrents du secteur bancaire. La plate-forme permettra ainsi aux banques et aux fintechs de ne pas avoir à créer leurs propres solutions techniques en interne.
Ouverture et partage de données
A travers la directive, les clients des banques (particuliers et entreprises) pourront autoriser une partie tierce qui n’est pas la banque à gérer leurs finances ou à avoir accès à leurs données financières. Couplée au développement des API (Application Programming Interface), la PSD2 -obligatoire dans 31 pays- va, notamment, permettre à des acteurs non bancaires de payer des factures et d’effectuer des transferts d’argent. En cela, la PSD2 concrétise l’Open Banking -basé sur l’ouverture et le partage des données vers des acteurs financiers ou autres.
D’emblée, Luxhub a introduit le concept Security by Design dans sa démarche de prestataire de services et de future market place. «Débuter un projet en anticipant les failles de ses futures applications et systèmes informatiques nous paraissait absolument nécessaire, même si c’est rompre avec les usages, estime Yannick Antoine. Dans la plupart des cas, les tests d’intrusions dans un projet sont réalisés à la fin et, assez souvent, les retours ne sont pas positifs. Des modifications sont alors nécessaires, ce qui conduit à des retards dans la mise en production de l’application.»
L’intégration de la sécurité dans le cycle de développement agile est assez récente. Elle permet de renforcer les applications pendant la phase de développement en apportant tôt des corrections qui sont habituellement et chroniquement gérées en bout de course. C’est le principe du SSDLC (Secure Software Develpoment Life Cycle), soit le cycle de vie du développement d’une application à comprendre comme l’ensemble des étapes de réalisation d’un logiciel dans le but de construire un produit de qualité.
Changement de culture
Dans ce projet, Excellium ne se positionne pas en auditeur, mais plutôt en qualité de coach afin de guider LuxHub dans l’intégration de la sécurité au niveau du développement. L’accompagnement s’inscrit dans un processus de transfert de connaissance, les équipes de développement de Luxhub devant trouver rapidement leur autonomie.
La démarche repose sur des fondements solides comme l’ISO 27001. Elle fait aussi appel à et l’OWASP (Open Web Application Security Project), une communauté travaillant dans le sens de la sécurité des applications web.
«Pour moi, la sécurité n’est pas une fonction distincte et par conséquent isolée du processus de développement d’applications, conclut Yannick Antoine. Il ne s’agit pas d’une case à cocher à part, mais bien d’une compétence organisationnelle que l’on doit retrouver chez l’ensemble des personnes qui participent à la conception. Dans un contexte où chaque ligne de code ou paramètre de configuration peut se transformer en faille critique, il n’est plus possible de compter uniquement sur les spécialistes. En cela, il s’agit d’un changement de culture fort.»
Ces articles parlent de "Data Intelligence"
Analysis, BI, Prediction, Planning, Boardroom