Marketing de la sécurité : quels livrables de sécurité logicielle ?

La sécurité fait partie des demandes des clients BtoB (notamment grands-comptes) lors d’un processus d’achat de solution logicielle.

Quelles garanties faut-il apporter ? Comment valoriser une démarche de sécurisation logicielle?

Testé - sécurité web

1) Les certifications

Passer une certification est un « must » pour attester de son niveau de cybersécurité. ISO 27001 pour le management de la sécurité de l’information, PCI-DSS pour les instruments de paiement… Il existe différentes normes adaptées à différents secteurs d’activité voire à des secteurs géographiques.

Engager une procédure de certification est une démarche lourde, à construire dans la durée, et qui peut venir impacter le fonctionnel. Quand la certification n’est pas obligatoire pour exercer une activité métier (par exemple pour les moyens de paiement), la démarche est plutôt recommandée à des entreprises assez matures qu’à des startups.

Une alternative consiste à viser la conformité partielle avec une norme, et non une conformité intégrale, et de valoriser cette démarche même si cela ne donne pas lieu à une certification. Des professionnels de la sécurité (dont Vaadata) peuvent accompagner ce type de démarche.

2) La valorisation des audits de sécurité

Le fait de conduire un audit de sécurité sous forme de tests d’intrusion est souvent une première démarche sécurité pour des startups ou des PME digitales.

L’avantage des tests d’intrusion est de mettre concrètement à l’épreuve une plateforme logicielle (en faisant des tests du point de vue d’un attaquant) puis de corriger facilement les failles identifiées par les experts en charge de la mission. Il s’agit d’un service facile à mettre en place et clé en mains.

Le livrable fourni est le rapport d’audit de sécurité. Celui ci contient la description précise des attaques menées, des failles identifiées ainsi que des corrections nécessaires. Hautement confidentiel, ce rapport peut cependant être partiellement communiqué à des clients pour attester de la démarche (après que les failles aient été corrigées, et en communiquant de préférence un extrait avec un résumé analytique).

Quand les tests sont suivis d’une « contre-visite », permettant de constater que les failles ont bien été corrigées, un deuxième livrable attestant de la correction des failles et de la sécurité de la plateforme est délivré. Ces documents ne sont pas confidentiels, notamment l’attestation qu’un audit a bien été réalisée par un prestataire (s’il s’agit de tests externalisés, ce qui rajoute de la crédibilité en évitant d’être à la fois juge et partie).

Il existe donc plusieurs approches permettant de valoriser l’aspect sécurité avec un objectif commercial à la clé, cet article n’étant pas exhaustif sur le sujet. Le marketing de la sécurité est en tout cas un facteur clé du renforcement progressif du niveau de sécurité sur les systèmes d’information et notamment les solutions logicielles.