Le savoir est une richesse que l’on doit partager

Teddy Ferdinand
RSS

Teddy Ferdinand ·

Une sécurité consultée trop tard devient forcément brutale

Quand la cybersécurité est appelée à la fin d’un projet, elle n’a souvent plus que de mauvaises options : accepter un risque mal maîtrisé, demander des corrections douloureuses ou bloquer la mise en production.

Une sécurité consultée trop tard devient forcément brutale

Dans un précédent article, j’expliquais que la sécurité ne bloque pas les projets par nature.

Ce qui bloque le plus souvent, c’est le flou : règles imprécises, processus opaques, absence de SLA, critères inconnus, responsabilités mal définies.

Mais il existe un autre problème très fréquent sur le terrain : la sécurité est consultée trop tard.

Et une sécurité consultée trop tard devient presque toujours brutale.

Pas parce que les équipes sécurité aiment dire non.
Pas parce qu’elles veulent ralentir les projets.
Pas parce qu’elles cherchent à imposer leur pouvoir.

Mais parce qu’à la fin d’un projet, il reste rarement des options élégantes.

Plus la sécurité intervient tard, moins elle a d’options

Au début d’un projet, il est possible de discuter.

On peut ajuster une architecture.
On peut choisir un service managé différent.
On peut éviter une exposition inutile.
On peut intégrer les bons contrôles dès la conception.
On peut arbitrer proprement entre risque, coût et délai.
On peut revoir un flux de données.
On peut choisir une meilleure stratégie d’authentification.
On peut adapter le logging.
On peut intégrer la supervision.
On peut prévoir un plan de rollback.

Bref, on peut encore construire quelque chose de propre.

À la fin d’un projet, tout est plus compliqué.

Le code est écrit.
L’architecture est figée.
Les engagements métiers sont pris.
La date de lancement est annoncée.
Les équipes sont sous pression.
Le budget est consommé.
Les compromis sont devenus coûteux.

Et parfois, le projet est déjà vendu comme “quasiment terminé”.

Dans ce contexte, la sécurité n’a souvent plus que trois options :

  1. accepter un risque mal maîtrisé
  2. demander des corrections douloureuses
  3. bloquer la mise en production

Aucune de ces options n’est satisfaisante.

Mais il ne faut pas confondre le moment où la sécurité dit “stop” avec le moment où le problème aurait dû être traité.

Le blocage final est souvent un échec amont

Quand une revue sécurité bloque un projet juste avant la production, tout le monde regarde la revue.

C’est logique : c’est le moment visible.

Mais le vrai problème est souvent plus ancien.

Il a commencé quand personne n’a identifié que le service serait exposé sur Internet.
Ou quand les données manipulées n’ont pas été correctement qualifiées.
Ou quand l’authentification a été traitée comme un détail technique.
Ou quand les accès administrateur ont été donnés “temporairement”.
Ou quand les logs ont été supprimés pour économiser du coût.
Ou quand les secrets ont été gérés “comme d’habitude”.
Ou quand l’équipe projet a pensé que la sécurité serait une simple formalité finale.

La revue de fin ne crée pas toujours le problème.

Elle le révèle.

Et forcément, quand un problème sérieux est révélé à la fin, il fait mal.

Le “non” de fin de projet est rarement bien vécu

Même quand il est justifié, un refus sécurité en fin de projet est souvent vécu comme une attaque.

L’équipe projet entend :

“Votre travail n’est pas bon.”

Le métier entend :

“Votre lancement est compromis.”

Le management entend :

“On découvre un nouveau risque au pire moment.”

Et la sécurité pense :

“Pourquoi découvre-t-on ça maintenant ?”

Tout le monde a une partie de la vérité.

Le projet a probablement travaillé sérieusement.
Le métier a probablement une vraie contrainte de délai.
Le management a probablement besoin de visibilité.
La sécurité a probablement raison de ne pas ignorer le risque.

Mais comme le sujet arrive trop tard, il n’y a plus de bonne discussion.

Il n’y a plus qu’une négociation sous pression.

Et une négociation sécurité sous pression produit rarement de bonnes décisions.

Le “non” sans alternative est un échec de service

Soyons clairs : parfois, la bonne réponse est non.

Non, on ne met pas une base de données contenant des données sensibles directement exposée sur Internet.
Non, on ne stocke pas des secrets dans un dépôt Git.
Non, on ne donne pas des droits administrateur permanents à toute une équipe.
Non, on ne désactive pas les logs pour économiser trois euros.
Non, on ne met pas en production un système critique sans supervision minimale.
Non, on ne contourne pas l’authentification parce que “c’est temporaire”.

Le problème n’est pas le “non”.

Le problème, c’est le non sec, sans explication exploitable et sans alternative.

Un bon refus sécurité devrait idéalement répondre à quatre questions :

  1. Quel est le risque ?
  2. Pourquoi est-il inacceptable dans ce contexte ?
  3. Quelle alternative est acceptable ?
  4. Qui peut arbitrer si le métier souhaite quand même prendre le risque ?

Dire “non conforme” ne suffit pas.

C’est peut-être vrai, mais ce n’est pas actionnable.

Une équipe projet a besoin de savoir quoi faire ensuite.

Sinon, elle se retrouve face à un mur.

Et face à un mur, les gens cherchent une porte dérobée.

Une alternative vaut souvent mieux qu’une interdiction seule

La sécurité doit savoir dire non.

Mais elle doit aussi, autant que possible, proposer un chemin praticable.

Pas forcément le chemin préféré de l’équipe projet.
Pas forcément le chemin le plus rapide.
Pas forcément le chemin le moins cher.

Mais un chemin acceptable.

Par exemple :

  • refuser une exposition directe, mais proposer un accès via un reverse proxy sécurisé
  • refuser des droits administrateur permanents, mais proposer un accès temporaire tracé
  • refuser des secrets dans le code, mais proposer un coffre à secrets
  • refuser une absence de logs, mais définir un socle minimal de journalisation
  • refuser une architecture trop risquée, mais proposer un pattern déjà validé
  • refuser une mise en production immédiate, mais proposer une mise en production progressive avec garde-fous.

La nuance est importante.

Une sécurité efficace ne dit pas seulement :

“Ce n’est pas possible.”

Elle dit plutôt :

“Pas comme ça. Voici une option acceptable.”

C’est souvent ce qui fait la différence entre une sécurité perçue comme un mur et une sécurité perçue comme un partenaire sérieux.

Les critères de validation doivent être connus avant l’examen

Un projet ne devrait pas découvrir les critères de validation sécurité au moment de la revue finale.

C’est exactement comme passer un examen sans connaître le programme.

Si les critères sont inconnus, la validation ressemble à une loterie.

Les équipes se demandent :

  • est-ce que ce point va passer ?
  • est-ce que cet outil est autorisé ?
  • est-ce que cette architecture est acceptable ?
  • est-ce que ce niveau de logging suffit ?
  • est-ce que cette exposition est bloquante ?
  • est-ce que cette exception sera acceptée ?

Et quand la réponse arrive tard, elle est vécue comme injuste.

Pour éviter ça, il faut rendre les critères visibles.

Pas sous forme d’un PDF de 80 pages que personne ne lit.
Pas dans une politique globale incompréhensible.
Pas dans un document tellement théorique que personne ne sait l’appliquer.

Il faut des critères simples, concrets, adaptés aux cas d’usage.

Par exemple :

  • checklist de mise en production
  • standards d’architecture cloud
  • exigences minimales pour une API publique
  • exigences pour un traitement de données sensibles
  • règles IAM
  • exigences de logging et d’alerting
  • patterns approuvés
  • anti-patterns interdits
  • processus d’exception

L’objectif n’est pas de tout bureaucratiser.

L’objectif est que les équipes sachent à quoi elles seront confrontées avant la dernière ligne droite.

Les garde-fous valent mieux que les surprises

Une autre approche consiste à ne pas attendre la revue finale pour découvrir les écarts.

Quand c’est possible, il faut mettre en place des garde-fous techniques.

Par exemple, dans un environnement cloud, cela peut passer par :

  • des politiques empêchant certaines configurations dangereuses
  • des alertes sur les ressources exposées publiquement
  • des contrôles sur les droits trop permissifs
  • des règles empêchant la création d’utilisateurs IAM locaux
  • des templates d’infrastructure validés
  • des scans de configuration
  • des contrôles automatisés dans les pipelines CI/CD

L’idée n’est pas de transformer l’environnement en prison.

L’idée est d’éviter qu’une équipe puisse sortir trop loin des clous sans s’en rendre compte.

Un garde-fou clair est souvent mieux vécu qu’un refus tardif.

Parce qu’il intervient au moment où l’erreur est encore simple à corriger.

Ce que les équipes projet doivent aussi comprendre

La sécurité a sa part de responsabilité, mais les équipes projet aussi.

Impliquer la sécurité tôt n’est pas une faveur.
C’est une mesure de maîtrise du risque projet.

Quand un projet attend la veille de la mise en production pour demander une validation, il crée lui-même les conditions du blocage.

Quand une équipe ne documente pas son architecture, elle ralentit l’analyse.
Quand elle minimise les données manipulées, elle fausse l’évaluation du risque.
Quand elle présente une décision déjà prise comme une simple demande d’avis, elle réduit les options.
Quand elle cache les contraintes business jusqu’au dernier moment, elle empêche un arbitrage propre.

La sécurité ne peut pas être efficace si elle découvre le contexte trop tard.

L’accompagnement fonctionne dans les deux sens.

La sécurité doit être intégrée aux moments clés

Il n’est pas nécessaire d’inviter la sécurité dans toutes les réunions.

Ce serait inefficace, pénible et probablement contre-productif.

En revanche, il faut identifier les moments où une consultation sécurité doit devenir automatique.

Par exemple :

  • lancement d’un nouveau produit
  • choix d’architecture
  • exposition Internet
  • traitement de données sensibles
  • ouverture à des partenaires
  • changement d’authentification
  • choix d’un fournisseur critique
  • mise en production d’un service important
  • évolution majeure d’un système existant
  • création d’un nouveau flux de données
  • modification importante des droits ou des accès

Le but n’est pas de ralentir.

Le but est d’éviter de découvrir trop tard un problème évident.

Conclusion

Une sécurité consultée trop tard devient forcément plus brutale.

Pas parce qu’elle le souhaite.
Mais parce que ses options se réduisent.

Au début d’un projet, la sécurité peut accompagner, orienter, proposer, ajuster.

À la fin, elle doit souvent choisir entre trois mauvaises options :

  • accepter un risque mal maîtrisé
  • demander des corrections douloureuses
  • bloquer la mise en production

Ce n’est bon pour personne.

Ni pour les équipes projet.
Ni pour le métier.
Ni pour le management.
Ni pour la sécurité.

La bonne question n’est donc pas :

“Pourquoi la sécurité dit non à la fin ?”

La bonne question est :

“Pourquoi la sécurité découvre le sujet à la fin ?”

Une sécurité efficace ne doit pas être une surprise de dernière minute.

Elle doit être intégrée au bon moment, avec des critères connus, des alternatives possibles et des arbitrages assumés.

Dans le prochain article, je parlerai de la suite logique : comment rendre la sécurité plus prévisible, sans la transformer en simple tampon de validation.

Teddy Ferdinand

Écrit par

Teddy Ferdinand

Head of CyberSOC. J’écris sur la cybersécurité opérationnelle, le cloud, AWS, DevSecOps, l’automatisation et les retours d’expérience terrain.