RGPD et dépendance à des librairies tiers?

Ce post fait écho à un article très intéressant publié sur develpppez.com : Plus de 75% des vulnérabilités dans les projets open source résident dans des dépendances indirectes.

Celui-ci souligne l'impact que peuvent avoir les dépendances d'un projet sur la sécurité de nos applications. Avec un gros accent sur Javascript et l'outillage Node.js. Je vous proprose d'aborder ici le volet RGPD de ce sujet.

RGPD plus librairie externe

Et si on se passait de ces librairies?

Après une lecture un peu trop rapide on pourrait se dire qu'il ne faut plus utiliser de librairies tiers et tout code soi-même.

Soyons sérieux un instant :

  • Avez-vous vraiment les moyens de tout coder vous-même?
  • Allez-vous coder une SPA sans Angular, Vue.js ou React?
  • Un SSO maison sans Identity Server?
  • Une solution maison pour remplacer ou sécuriser Rest, SOAP ou gRPC?
  • Un accès aux bases de données entièrement codé à la main, avec les risques d'injection qui vont avec?

Certains exemples peuvent sembler excessifs. Malheureusement, ils sont tous tirés de cas réellement observés.

Avez-vous toutes les compétences sous la main et les ressources pour tester la sécurité de vos applications sous toutes ses coutures? Les méthodes, outils dédiés aux attaques, ainsi que les standards de sécurité évoluent à un rythme effréné. Il faut mobilier de très gros moyen en recherche et développement.

Dans un contexte où le RGPD nous demande d'être garants de la sécurité de nos applications, cette approche peut s'avérer plus dangereuse. Comment prouver que l'on est "Secured By Design" si l'on n’utilise aucune solution de sécurité du marché que l'on ne suit pas l'évolution des standards de sécurité?


Comment s'en sortir?

L'avantage des librairies tiers est qu’elles sont connues. Une bonne librairie a de nombreux utilisateurs. Plus elle a d'utilisateurs, plus on a de chances d'y trouver des failles, et plus on a de corrections.

Pour rester en conformité avec le RGPD, il faut donc veiller à tenir ces librairies à jour.

Que ce soit via GitHub, NPM.js, ou les blogs des développeurs, il y a toujours moyen de se tenir informé des mises à jour.

Attention : Quand une librairie populaire a une faille connue et corrigée, le fait de ne pas mettre à jour votre application risque d'être considéré comme une négligence. Surtout si vous tardez et attendez des années (cas déjà constaté malheureusement).


Conclusion

Il est bien moins couteux d'effectuer régulièrement les mises à jour de ces librairies que de tout coder soit même de bout en bout, et de finir non conforme vis-à-vis du RGPD.

SVP tenez vos dépendances à jour!

Jérémy Jeanson

Comments

You have to be logged in to comment this post.