En êtes-vous bien certain ? Une enquête, commanditée par Informatica (qui n'est, bien entendu, pas neutre dans le débat), auprès de plus de 400 professionnels "seniors" de l'informatique dans les services financiers (au Royaume-Uni) semble montrer que les pratiques de développement en vigueur comportent toujours de graves lacunes en matière de sécurité.
Selon cette étude, 85% des personnes interrogées utilisent des données réelles, issues des environnements de production, dans leurs projets informatiques, pour le développement et (surtout, peut-on supposer) pour les tests. De plus, dans la moitié des cas, ces fonctions sont externalisées. Jusque-là rien de très surprenant : la qualitifcation des logiciels requiert "naturellement" des cas d'utilisation réels pour identifier (et corriger) les anomalies et il est souvent irréaliste de vouloir créer de toutes pièces des jeux de données pertinents.
Le plus grave est surtout que 43% des répondants déclarent ne prendre aucune mesure particulière pour protéger les informations utilisées dans ce contexte ! Les politiques de protection des données deviennent beaucoup plus lâches dans les équipes projet des DSI, dans la plupart des cas par absence d'une responsabilité clairement identifiée. Suivant la même logique, parmi les 38% de répondants utilisant des ressources dans le cloud pour les développements, près de la moitié ne se préoccupent pas de la sécurisation de la solution retenue. Un comble quand on entend régulièrement les réticences des entreprises à adopter le cloud computing par crainte pour la confidentialité de leurs données !
Ce ne sont pourtant pas les solutions qui manquent. Par exemple, en ce qui concerne la gestion des informations "client", les technologies d'anonymisation ou de "masquage" des données sont maintenant éprouvées et deviennent relativement faciles à mettre en oeuvre (elles arrivent même dans les environnements de production).
Je dois avouer être un peu sceptique sur les chiffres rapportés par Informatica, la méthodologie de l'enquête n'étant pas précisée. Mais je suis tout de même persuadé que le risque qu'elle souligne reste réel et qu'il mérite bien un (r)appel à la vigilance...