Par Richard Mort, nouveau directeur d’entreprise , Solutions de test Edge
Selon une nouvelle étude, les banques britanniques sont touchées par des défaillances informatiques et de sécurité qui empêchent les clients d’effectuer des paiements à un taux moyen de plus d’un jour.
Au total, 302 rapports ont été faits entre le 1er avril 2018 et la fin de l’année, Qui ? L’argent trouvé en analysant les derniers rapports de 30 banques et sociétés de construction. Parmi les résultats, Barclays a signalé les incidents les plus graves (41), soit un taux de plus d’un par semaine au cours des neuf derniers mois de 2018. Elle a été suivie par Lloyds Bank (37), Halifax/Bank of Scotland (31), NatWest (26), RBS (21) et Ulster Bank (18). Le BST, où l’introduction infructueuse d’un nouveau système de TI l’an dernier a fait perdre à 1,9 million de personnes l’accès aux services bancaires en ligne, a signalé 16 incidents.
Les résultats montrent clairement que les banques britanniques ont du mal à suivre le rythme des attentes des consommateurs en matière de technologie, ce qui entraîne un nombre croissant de bugs et de problèmes de système.
Il existe trois sources principales pour l’introduction de bogues dans le code. Il est important de les comprendre pour comprendre où les bogues peuvent se cacher et pourquoi les tests logiciels et applications sont le lien clé pour les localiser.
La première source est l’accent de plus en plus mis sur un délai de mise sur le marché plus court. Les chefs d’entreprise font pression sur les codeurs pour qu’ils fournissent davantage et qu’ils le fassent plus rapidement, souvent sans accès complet aux outils de test les plus récents et sans respecter les critères de qualité. Le résultat peut être n’importe quoi de script inter-site simple mais mortel, d’injection de code et de bogues de débordement de pile, ou de faiblesses de processus. Ce dernier peut être particulièrement insidieux, permettant aux pirates de manipuler les processus pour y accéder, plutôt que de pirater directement le code. Un problème plus large ici est que les équipes de développement logiciel sont généralement chargées de fournir des fonctionnalités, pas de sécurité, de pousser les tests de sécurité à l’arrière de la file d’attente.
La deuxième source de bogues est l’utilisation croissante du code open source et du code tiers. En partie motivée par le premier point ci-dessus, et en partie à cause de considérations pratiques, l’utilisation de la bibliothèque de codes est à la hausse. En 2018, Synopsis a signalé que sur 1 100 bases de codes commerciaux analysées, 78 % incluaient au moins une vulnérabilité à code source libre. Au total, 4 800 vulnérabilités open source ont été signalées en 2017.
Le troisième est l’échec de la diligence raisonnable dans les fusions et acquisitions, où de nouvelles technologies et des actifs numériques sont acquis, mais pas entièrement testés et évalués avant d’être intégrés par la nouvelle entité. Le résultat est au mieux une architecture trop complexe, qui fournit une surface d’attaque beaucoup plus grande pour les pirates et, au pire, introduit directement des failles de sécurité graves.
Le diable est dans le détail
Malheureusement, garantir la qualité des applications bancaires et/ou m-payment peut être extrêmement exigeante en main-d’œuvre. Dans le cas de m-paiement , par exemple, nous savons depuis notre Device Lab que les clients peuvent avoir besoin de plus de 2 000 cas de test pour s’assurer que l’application fonctionne comme prévu. Les tests doivent être exécutés sur plusieurs versions d’appareils iOS et Android et exécutés dans un pack de test de régression chaque fois que le logiciel est mis à jour pour s’assurer que les nouvelles mises à jour n’interrompent pas les fonctionnalités existantes.
Le volume de tests requis pour garantir une application de haute qualité peut être intimidant. Même la rationalisation des techniques telles que la réalisation d’essais à faible risque une seule fois sur une seule version de chaque appareil ne peut que réduire la charge de travail. Cependant, avec des outils de test puissants, les aspects répétitifs et fastidieux des tests peuvent être gérés automatiquement, augmentant ainsi la vitesse et l’efficacité des tests, réduisant la probabilité d’erreurs et, finalement, économiser de l’argent.
L’ automatisation n’est pas sans difficultés : les fabricants de smartphones (en particulier Apple) imposent à leurs appareils des restrictions qui peuvent limiter l’efficacité de l’automatisation des tests. En outre, pour les projets internationaux, les appareils devraient idéalement être testés dans le pays sur les réseaux mobiles réels que les clients finaux sont susceptibles d’utiliser. Ces problèmes peuvent être surmontés, mais nécessitent une évaluation au cas par cas. La mise en œuvre réussie de l’automatisation peut réduire considérablement l’effort de test — dans le cas de m-payment mentionné précédemment, les économies peuvent être élevées par rapport aux tests manuels, ce qui représente un avantage significatif dans la course m-payment.
Développement sûr et sécurisé
La sécurité est un défi majeur pour les systèmes bancaires et l’utilisation de logiciels tiers ajoute une dimension supplémentaire — et peut-être inattendue — du risque.
Pour fournir un système bancaire mobile ou en ligne, les développeurs doivent écrire un logiciel qui utilise de nombreuses technologies différentes et fonctionne sur des périphériques matériels très différents. Pour simplifier cette tâche, les développeurs utilisent souvent des bibliothèques logicielles open source ou tierces pour exécuter des fonctions communes.
Que des bibliothèques tierces soient utilisées ou non, des tests de sécurité robustes sont essentiels, mais la pratique courante consistant à effectuer des tests de sécurité uniquement à la fin d’un projet peut être très risquée. Lorsque des faiblesses sont découvertes, la banque est souvent confrontée à un choix entre retarder une publication pour résoudre les problèmes ou utiliser un logiciel qui présente des vulnérabilités connues. Une meilleure approche consiste à construire un codage sécurisé et des tests de sécurité tout au long de la phase de développement. En conséquence, les défauts potentiels sont détectés et corrigés au cours du projet, plutôt qu’à la fin, ce qui permet de gagner du temps de développement et d’accélérer la mise sur le marché.
Gagner la course grâce à un hub de test numérique
Les méthodes traditionnelles de test et d’assurance qualité ont une valeur limitée lors du développement d’applications bancaires en ligne ou de paiement mobile. La course à l’avance sur la compétition exige l’utilisation de méthodes de développement de logiciels dynamiques et agiles. Mais le développement ne suffit pas rapidement, l’assurance qualité doit suivre le rythme du développement, ce qui ne peut être atteint que grâce à des méthodes de qualité logicielles plus efficaces.
Une stratégie de qualité efficace prend en compte : l’infrastructure informatique héritée, les exigences en matière de back-office et de front office, l’interdépendance du cloud computing et de la mobilité.
Alors que les banques adoptent de nouvelles façons de répondre aux demandes des clients, la gestion de la qualité adopte de plus en plus une approche intégrée. En centralisant les services de test pour le développement d’applications et d’applications, les banques peuvent bénéficier de Digital Test Hubs offrant une compétence de base en matière de test, associée à une flexibilité pour prendre en charge des systèmes complexes en constante évolution.
Un Digital Test Hub (ou Testing Centre of Excellence) évite les problèmes des testeurs basés sur des silo répartis dans toute l’organisation qui risquent de dupliquer à grande échelle les activités de test. L’intégration de la qualité dans un centre de test numérique signifie que les problèmes d’intégration plus larges et les risques associés sont plus facilement identifiés, car l’équipe impliquée dans les tests fonctionnels, de régression, automatisés ou de performance possède une bonne compréhension contextuelle de l’environnement opérationnel spécifique.
SecOps et sécurité par conception
Lasécurité par conception est une exigence croissante en matière de conformité réglementaire. Cela peut être réalisé en faisant évoluer le développement système d’abord dans DevOps, puis dans DevSecOps (plus souvent maintenant simplement connu sous le nom SecOps).
Alors que l’évolution de DevOps en SecOps est une tendance positive pour la sécurité par conception, de nombreuses organisations ont du mal à les mettre en œuvre efficacement. Il s’agit d’inclure des tests de sécurité dans le processus de développement des applications. Gartner prévoit que 80 % des équipes de développement utiliseront un flux de travail SecOps d’ici 2021 ; de nouvelles solutions devront donc émerger pour faciliter ce processus.
La difficulté consiste à établir et surtout à maintenir le bon processus de SECOP. Cependant, avec l’aspect conseil des sociétés de test tierces et leurs plateformes de test polyvalentes qui facilitent la transition, les organisations commenceront à voir émerger un flux de travail plus sûr et les tests de sécurité deviendront un aspect essentiel de la sécurité par conception.
Analyse des vulnérabilités et test de pénétration
Le
succès des pirates réside dans leur capacité à garder une longueur d’avance sur la sécurité. Bien que l’augmentation du piratage commandité par l’État et l’accessibilité accrue des ressources pour les agents malveillants puissent leur donner un avantage, tout n’est pas à leur avantage. Des ressources telles que le Top 10 OWASP et le NVD NIST facilitent plus que jamais l’analyse des vulnérabilités connues, permettant aux testeurs de sécurité de concentrer leur attention sur l’identification et la protection contre les menaces émergentes.
Avec les ressources de plus en plus disponibles pour les acteurs de menaces, les tests proactifs de vulnérabilité et les tests de pénétration deviendront probablement le facteur « ake-or-break ». Et il s’agit, bien sûr, d’une exigence de conformité pour un nombre croissant de règlements.
Tests de conformité
Les
tests de conformité pourraient bien voir les changements les plus importants par rapport à 2019, en grande partie grâce au RGDP de l’UE. Les nouvelles réglementations relatives aux données sont vastes et complexes, offrant aux organisations et aux testeurs de nouveaux défis, dont beaucoup n’ont pas encore de solution établie. La réglementation RGDP n’étant mise en œuvre que l’année dernière, des précédents et des normes pour leur interprétation dans le monde réel sont encore en cours de mise en place. Toutefois, des normes et des cadres sont en voie d’émergence dans certains pays, comme les Pays-Bas, qui permettent d’effectuer des tests de conformité.
Les
incertitudes persistantes sur le RGDP aux niveaux national et international diminueront au fil du temps, mais il est important que les testeurs restent aussi à jour que possible sur la réglementation. Cela s’appliquera également au nombre croissant de lois mondiales en matière de protection de la vie privée et de divulgation qui entreront en vigueur — comme la loi californienne sur la protection des consommateurs (CCPA). D’autres réglementations normatives, telles que PCI, peuvent être testées plus facilement.
Test de sensibilisation des utilisateurs
Depuis plus de dix ans, les membres du personnel d’une organisation sont considérés comme l’un des plus grands risques de sécurité de tous. Il s’agissait d’un problème connu en 2007, et un sondage réalisé en 2017 auprès des professionnels de la sécurité plaçait encore les employés au deuxième rang des menaces les plus importantes pour les infrastructures essentielles.
Laformation à la sensibilisation aux menaces est un élément nécessaire de la sécurité organisationnelle, sinon cette tendance de longue date ne peut pas changer. Des testeurs avant-gardistes tels que Edge Testing prennent des dispositions pour cela, intégrant des formations de sensibilisation et des modules d’apprentissage en ligne pour aider à détecter de manière proactive les menaces de sécurité et même la gamification afin de maintenir l’engagement des utilisateurs.
Une vision de l’avenir
Avec le GDPR changeant le paysage de la conformité et l’accélération de la transformation numérique, 2019 sera une année intéressante. Peut-être le plus grand changement à venir est l’élargissement de la portée des exigences en matière de tests. La vérification du code source et les tests de vulnérabilité, bien que cruciaux, ne deviennent que deux pièces d’un puzzle plus grand.
La meilleure solution de test logiciel sera inévitablement holistique, d’un fournisseur capable de fournir tous les aspects des tests logiciels, donc rien n’est manqué. Les fournisseurs de tests spécialisés augmenteront (à juste titre) en force et en popularité, car les entreprises reconnaîtront le besoin de la meilleure sécurité possible et, en outre, de la solution la plus efficace et la plus rentable pour cela. L’automatisation augmentera en portée et en efficacité, mais ne pourra toujours pas couvrir tous les domaines de tests nécessaires.
La sécurité est une nécessité. Une bonne sécurité protège les clients contre le vol de données ; elle protège le matériel et les logiciels contre les vulnérabilités critiques et protège les entreprises contre les infractions aux réglementations toujours plus strictes. Le premier et le plus important assurer une bonne sécurité consiste à utiliser de bons tests de sécurité, en particulier pour le secteur des services financiers, où les attentes sont sans doute à leur plus haut niveau de tous côtés.
