Readdle : « impossible de vérifier sa sécurité sans un autre point de vue »

Le tristement célèbre vair-faux rançongiciel NotPetya/ExPeter/EnternalPetya, dont certains continuent encore de payer les conséquences, a été distribué en masse via une porte dérobée installée dans le logiciel comptable de l’éditeur ukrainien MeDoc. L’éditeur Readdle, bien connu pour ses applications comme PDF Expert, Scanner Pro, Documents ou encore Spark, trouve ses origines en Ukraine, où il est encore très présent. Il fête actuellement ses dix ans et son vice-président Denys Zhadanov a accepté de répondre à nos questions sur son approche de la sécurité de ses processus de développement et de distribution d’applications.

LeMagIT : La compromission de l’infrastructure de l’éditeur MeDoc a-t-elle entraîné dans changements dans la manière dont vous gérez la sécurité de vos processus de développement logiciel ?

Denys Zhadanov : De ce que j’ai compris personnellement, les entreprises qui avaient un minimum d’hygiène de sécurité (comme installer régulièrement les mises à jour logicielles importantes) n’ont pas été affectées par Petya/NotPetya, ou alors de manière mineure. Ainsi, la comptabilité fiscale ne devrait pas être faite sur les mêmes ordinateurs que ceux où a lieu le développement logiciel. Et la compromission d’un ordinateur dans le département comptable ne devrait pas compromettre toute l’infrastructure.

Mais en ce qui nous concerne, il n’y a pas eu de changement requis dans nos processus.

Comment assurez-vous la sécurité de vos processus de développement et de distribution de logiciels ?

Nous l’assurons en suivant protocoles et standards de sécurité de l’information, notamment en respectant les principes de moindre privilège, de chiffrement des terminaux, de défense en profondeur, en utilisant l’authentification à facteurs multiples, avec des politiques de mots de passe robustes, en installant régulièrement les mises à jour de sécurité, et bien sûr en réalisant des audits réguliers, manuels et automatisés.

Et comme nous nous appuyons fortement sur le Cloud, nous n’avons pas à nous inquiéter des questions de sécurité physique pour l’accès à nos serveurs.

Faites-vous appel des tiers pour évaluer la sureté de vos logiciels – comme un Lookout, par exemple –, d’une part, et la robustesse de vos mesures de sécurité, d’autre part ?

Oui. Il est impossible de vérifier la sécurité des logiciels, la validité de ses politiques de sécurité, et la posture de sécurité de son infrastructure sans avoir un autre point de vue que le sien.