Réduction du seuil d'attaque des applications parlementaires

Cybersécurité et développement d'applications

Finlande

Scénario n° : 045

Auteur : Parlement de Finlande

Date : 1 juillet 2024
 

Objectif :

Réduire le seuil d'attaque des applications parlementaires au moyen de tests de sécurité automatisés des applications statiques (automated static application security testing – SAST) visant à assurer la qualité du code de l'application et à détecter les éventuelles failles de sécurité dans le code source.

Acteurs :

  • Développeurs des éditeurs de logiciels
  • Service informatique du parlement
  • Outil SAST alimenté par l'IA

Conditions préalables :

  • Licences SAST, application installée et accès des développeurs au produit
  • Vérification SAST configurée comme obligatoire
  • Tous les critères de l'outil SAST (p. ex. pour l'organisation, les projets, les sections principales, la qualité du code et les indicateurs) sont remplis
  • Outil SAST faisant partie intégrante du processus de codage quotidien, connu et souhaité par les développeurs
  • Outil visant à vérifier que des corrections sont apportées suite aux résultats fournis par l'outil SAST puis validées

Scénario :

  1. Le développeur du logiciel ouvre l'outil SAST à partir d'une adresse spécifique.
  2. Le développeur se connecte à une organisation spécifique avec les identifiants donnés.
  3. L'outil SAST analyse le code tandis que le développeur travaille avec chaque nouveau commit et avertit de tout problème de qualité et de sécurité lié au code en fonction de sa nature et de sa gravité.
  4. Le développeur corrige les problèmes de qualité et/ou de sécurité liés au code puis le valide à nouveau. 
  5. Lorsque le codage est terminé, le développeur se déconnecte.

Flux alternatifs :

  • Toutes les lignes nouvelles ou modifiées sont considérées comme nouveau code. Lorsque le code existant est modifié, d'anciens problèmes peuvent resurgir. Ils sont traités en priorité, car cela permet de nettoyer progressivement l'ensemble de la base de code avec un minimum d'efforts.

Résultats attendus :

  • Les applications sont plus sécurisées et comportent moins de failles de sécurité exposant l'organisation aux attaques.
  • Le codage est plus efficace et la qualité du code est améliorée.
  • Une nouvelle politique permettant à l'organisation d'améliorer la fiabilité de son processus de développement logiciel est mise en place.

Problèmes potentiels :

  • Failles dans les préréglages de l'outil
  • Les développeurs du logiciel font trop confiance à la capacité de détection de l'outil SAST, ce qui peut entraîner des failles de sécurité dont l'outil ne peut pas avertir
  • Ralentissement du processus de développement logiciel si le développeur n'est pas habitué à utiliser l'outil

Données requises :

  • Pour analyser le nouveau code, l'outil SAST a besoin d'un point de référence, qui peut être soit le numéro de la version précédente, soit l'heure.

Intégration à d'autres systèmes :

  • Plateforme de codage
  • Système SAST
  • Authentification multifactorielle

Indicateurs de réussite :

  • La quantité de code logiciel par sprint a-t-elle augmenté au fur et à mesure de l'avancement du projet ?
  • Combien de vulnérabilités le code présente-t-il pendant un sprint ? 
  • Combien de vulnérabilités critiques par sprint ?
  • Un audit de sécurité fructueux a-t-il été effectué par un tiers de confiance ?

 

La collection Scénarios d'utilisation de l'IA dans les parlements est publiée par le Centre pour l'innovation au parlement de l'UIP dans le cadre du projet de lignes directrices relatives à la gouvernance de l'IA dirigé par le Pôle de recherche sur les données parlementaires.

Cette collection est publiée sous licence Creative Commons "Attribution – Utilisation non commerciale – Partage dans les mêmes conditions 4.0 International". Le contenu peut être diffusé et réutilisé librement en citant le nom de l'auteur et l'UIP. 

Un scénario d'utilisation décrit le mode de fonctionnement idéal d'un système. Il est conçu pour prévoir, élaborer et évaluer la mise en œuvre.  Un scénario d'utilisation n'est pas une étude de cas, qui se limite à une description de la mise en œuvre concrète d'un projet réel. Nous attirons votre attention sur le fait que le présent scénario est publié tel qu'il nous a été transmis et que ni l'UIP ni l'auteur ne peuvent être tenus responsables de son utilisation.

Pour de plus amples informations sur les travaux de l'UIP dans le domaine de l'intelligence artificielle, veuillez consulter la page https://www.ipu.org/fr/impact/democratie-et-parlements-forts/lintelligence-artificielle ou écrire à l'adresse [email protected].