Sécurité associée aux développements de logiciels du marché

À l'heure où chacun de nous s'interroge sur la sécurité associée au stockage et à l'exploitation de nos données, je suis étonné de rencontrer des éditeurs de logiciels reconnus sur le marché, très bien notés dans le magic quadrant du Gartner qui, il me semble, traitent la sécurité d'une manière bien singulière.

À l'heure où chacun de nous s'interroge sur la sécurité associée au stockage et à l'exploitation de nos données, je suis étonné de rencontrer des éditeurs de logiciels reconnus sur le marché, très bien notés dans le magic quadrant du Gartner qui, il me semble, traitent la sécurité d'une manière bien singulière.

S'agissant d'un outil permettant de centraliser la gestion des données, j'interroge l'un de ces éditeurs sur les procédures mises en place afin d'assurer du niveau de sécurité des logiciels développés.

Il m'est répondu que l'éditeur n'est pas responsable de la sécurité de la solution qui sera mise en place chez ses clients. Il ajoute que ce sont lesdits clients qui mettent des données à disposition de leurs collaborateurs ou clients et que ce sont eux qui assurent l'exploitation du logiciel.

J'apprends également lors de nos échanges qu'il n'y pas eu d'audit du code source, ni de tests de vulnérabilité commandés par l'éditeur. Enfin, le RSSI n'est autre que le responsable technique de la société.

Je trouve cette approche légère. Un éditeur qui développe des outils de gestion des données "clé en main", y compris des applications mobiles permettant à ses clients l'accès aux données via des tablettes et smartphones se doit de s'assurer d'un certain niveau de sécurité de ses outils.

J’espère tout au moins que cet éditeur s’assure du niveau de compétence de ses équipes de développement et que ceux-ci ne sont pas confiés uniquement à des stagiaires qui ne seraient pas suffisamment encadrés par des professionnels expérimentés.