Klaerenn
⌘K
Klaerenn
Tribunes

La dette de sécurité applicative : quand le "Secure by Design" défie la conformité réglementaire

252 jours pour corriger une faille, contre 171 il y a cinq ans. Pendant que NIS2 impose la conformité, la dette de sécurité applicative explose. Analyse d'un paradoxe réglementaire.
La dette de sécurité applicative : quand le "Secure by Design" défie la conformité réglementaire

Alors que la directive européenne NIS2 s'impose progressivement comme le nouveau standard réglementaire en matière de cybersécurité, un fossé préoccupant se creuse entre l'approche "conformité" qu'elle incarne et les principes du "Secure by Design" nécessaires pour traiter efficacement la dette de sécurité applicative. Ce paradoxe, mis en lumière par le récent rapport Veracode, soulève des questions fondamentales sur la pertinence d'une approche purement normative face aux défis techniques concrets.

Les chiffres du dernier rapport State of Software Security de Veracode invitent à la réflexion. Le délai moyen de correction des failles de sécurité est passé de 171 à 252 jours au cours des cinq dernières années, tandis qu'environ 50% des organisations présentent une dette de sécurité qualifiée "à haut risque", avec des vulnérabilités non corrigées depuis plus d'un an. Si ces tendances soulèvent des questions légitimes, elles reflètent aussi la complexité croissante des environnements numériques modernes, comme le souligne Chris Wysopal, cofondateur de Veracode. L'augmentation du nombre d'applications et des lignes de code à gérer représente un défi technique majeur, mais pas insurmontable pour les organisations qui adoptent les bonnes pratiques.

Face à cette réalité, la directive NIS2 propose une approche principalement axée sur la gestion des risques et la notification des incidents. Bien qu'elle introduise des avancées significatives en matière de gouvernance de la cybersécurité et de responsabilisation des dirigeants, elle n'aborde qu'indirectement la problématique fondamentale de la dette technique. Cette vision de la sécurité, nécessaire mais incomplète, pourrait être avantageusement complétée par les principes du "Secure by Design", qui prônent l'intégration de la sécurité dès les premières phases de conception des systèmes. Le risque existe que la conformité devienne une fin en soi, plutôt qu'un moyen d'améliorer véritablement la posture de sécurité.

La dette de sécurité applicative requiert une approche radicalement différente. Elle exige d'embrasser pleinement les principes du "Secure by Design" - modularité, minimisation des dépendances, architecture défensive, mise à jour continue - pour créer des systèmes intrinsèquement plus résistants aux vulnérabilités. Cette démarche proactive s'oppose à l'approche réactive et documentaire privilégiée par NIS2. Le risque est réel de voir des organisations consacrer l'essentiel de leurs ressources à maintenir une conformité de façade, au détriment d'investissements dans l'amélioration structurelle de leurs applications.

L'étude de Black Duck citée dans le rapport Veracode illustre ce défi technique. Huit des dix principales vulnérabilités à haut risque identifiées concernent jQuery, une bibliothèque JavaScript omniprésente. La faille la plus fréquente (CVE-2020-11023), présente dans un tiers des bases de code analysées, affecte des versions obsolètes mais toujours largement utilisées. Face à cette situation, NIS2 apporte certainement un cadre structurant pour identifier et documenter ces risques, mais la résolution effective de ces vulnérabilités profondes nécessite une approche complémentaire, ancrée dans les principes du développement sécurisé.

Cette situation met en lumière les limites d'une approche exclusivement réglementaire. Sans remettre en question la valeur de NIS2 pour établir un socle commun de sécurité, il faut reconnaître que la conformité peut parfois devenir un exercice qui mobilise des ressources importantes. Les organisations se retrouvent alors dans une situation délicate : comment équilibrer les efforts consacrés aux exigences réglementaires avec ceux nécessaires à la modernisation de leurs applications et à la réduction de leur dette technique?

L'alternative à cette approche normative réside dans l'adoption généralisée des principes "Secure by Design". Cela implique d'intégrer la sécurité dès les premières phases de conception, d'adopter des pratiques de développement qui minimisent l'introduction de vulnérabilités, et de privilégier des architectures modulaires qui facilitent les mises à jour et les remplacements de composants. Cette approche proactive permet de réduire significativement l'accumulation de dette technique et d'améliorer la capacité des organisations à répondre rapidement aux nouvelles menaces.

Les entreprises les plus performantes en matière de sécurité applicative sont celles qui ont réussi à intégrer ces principes dans leur culture technique. Elles corrigent les vulnérabilités cinq fois plus rapidement que la moyenne, selon le rapport Veracode, non pas parce qu'elles sont soumises à davantage de régulations, mais parce qu'elles ont adopté des pratiques de développement qui facilitent les corrections rapides et les déploiements continus.

Cette vision complémentaire de la cybersécurité ne s'oppose pas au cadre réglementaire de NIS2, mais propose de l'enrichir avec une dimension plus technique et opérationnelle. La réglementation établit des objectifs et un cadre de responsabilité essentiels, tandis que l'approche "Secure by Design" fournit les moyens concrets pour atteindre ces objectifs de manière durable et efficiente.

La véritable résilience numérique viendra d'une approche équilibrée, combinant un cadre réglementaire structurant avec une transformation profonde des pratiques de conception et de maintenance des systèmes informatiques. À cet égard, les autorités nationales chargées d'appliquer NIS2 ont un rôle crucial à jouer. En effet, la transposition de la directive dans les législations nationales offre une opportunité d'enrichir le texte européen avec des mesures d'accompagnement plus concrètes. Certaines autorités de contrôle développent déjà des programmes de sensibilisation et des outils pratiques qui vont au-delà de la simple vérification de conformité, favorisant l'adoption de bonnes pratiques techniques. Cette intelligence dans l'application du cadre réglementaire, combinée aux efforts des organisations pour intégrer les principes du "Secure by Design", constitue sans doute la voie la plus prometteuse pour répondre efficacement au défi de la dette de sécurité applicative.

Cet article s'appuie sur les données du rapport State of Software Security de Veracode et propose une analyse critique de l'approche réglementaire face aux enjeux contemporains de cybersécurité.

Initialement publié sur LinkedIn le 2025-03-13

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.