Points clés
- Intégrer la sécurité dès la conception des architectures coûte 6 à 30 fois moins cher que la corriger après déploiement
- La directive européenne NIS2 et le règlement DORA imposent Security by Design comme exigence de conformité dans les secteurs couverts
- Google BeyondCorp : la refonte de l'architecture de sécurité réseau après l'opération Aurora (2009) est le cas de référence le plus cité en matière d'architecture Zero Trust
- Les principes : moindre privilège, défense en profondeur, séparation des composants, design for failure
L'intégration de la sécurité dès la conception des architectures — le principe de Security by Design — est probablement le levier le plus efficace et le plus économique de la protection des systèmes d'information. Son efficacité vient de sa logique : il est toujours moins coûteux de construire un système sécurisé dès l'origine que de corriger des défauts de sécurité sur un système en production, où chaque modification peut introduire des régressions fonctionnelles et nécessite des processus de validation complexes.
La résistance à ce principe vient de son horizon temporel : les coûts sont immédiats (temps de conception, ressources de sécurité mobilisées en amont), les bénéfices sont différés (réduction des incidents, des coûts de remédiation, des amendes réglementaires). Cette asymétrie temporelle explique pourquoi le principe reste sous-appliqué malgré sa reconnaissance universelle.
Les principes d'architecture sécurisée
Quatre principes structurent une architecture sécurisée dès la conception : le moindre privilège (chaque composant n'accède qu'aux ressources strictement nécessaires à sa fonction), la défense en profondeur (plusieurs couches de contrôle indépendantes, de sorte qu'une défaillance d'une couche ne compromette pas l'ensemble), la séparation des composants (isolation des systèmes critiques pour limiter la propagation latérale), et le design for failure (conception anticipant les défaillances partielles sans effondrement total du système).
Ces principes sont applicables à tous les niveaux d'architecture : infrastructure réseau (segmentation, Zero Trust), applications (gestion des identités, chiffrement, validation des entrées), données (classification, chiffrement au repos et en transit, gestion des droits d'accès), et processus (séparation des tâches, contrôles compensatoires).
L'architecture Zero Trust comme standard contemporain
L'architecture Zero Trust (ZTA), formalisée par le NIST dans la publication SP 800-207 (2020), part de l'hypothèse qu'aucun réseau, utilisateur ou appareil n'est intrinsèquement fiable — même ceux qui se trouvent à l'intérieur du périmètre de l'organisation. Cette hypothèse produit des architectures significativement plus résilientes que les architectures périmètriques traditionnelles, parce qu'elles ne créent pas de zone de confiance absolue qu'un attaquant pourrait exploiter une fois le périmètre franchi.
La transition vers une architecture Zero Trust est un projet de transformation majeur, qui requiert des investissements en identité (authentification forte, gestion des accès), en réseau (micro-segmentation, inspection du trafic interne) et en données (classification, chiffrement systématique). Elle se conduit progressivement, en partant des actifs les plus critiques.
La responsabilité de la direction dans les choix architecturaux
Les choix d'architecture sont des décisions stratégiques qui ont des implications de sécurité sur 10 à 15 ans. Choisir une architecture monolithique ou microservices, centralisée ou distribuée, on-premise ou cloud — ces décisions déterminent la surface d'attaque, les options de défense disponibles, et les coûts de remédiation futurs. La direction générale doit comprendre les implications de sécurité de ces choix, même si elle délègue les décisions techniques aux équipes spécialisées.
Les conseils d'administration des organisations les plus exposées — secteurs financier, santé, infrastructures critiques — intègrent désormais des revues de l'architecture de sécurité dans leurs discussions stratégiques, souvent avec l'appui d'experts indépendants qui peuvent valider les choix effectués par les équipes internes.
Apple a intégré le principe Security by Design dans l'architecture de ses appareils avec la création du Secure Enclave : un processeur dédié, physiquement séparé du processeur principal, qui gère les opérations cryptographiques sensibles (biométrie, clés de chiffrement). Cette décision architecturale, prise dès la conception de l'iPhone 5S, a produit un niveau de protection des données personnelles que des solutions logicielles ajoutées après coup n'auraient pas pu atteindre. L'affrontement Apple/FBI en 2016 sur le déverrouillage d'un iPhone a mis en lumière la robustesse de cette architecture conçue dès l'origine pour ne pas permettre de backdoor.
La Banque de France a engagé un programme de refonte de son architecture de sécurité sur plusieurs années, intégrant les principes Zero Trust progressivement sur ses systèmes les plus critiques. La micro-segmentation du réseau interne et le déploiement d'une authentification forte pour tous les accès aux systèmes sensibles ont précédé — par choix de gouvernance — tout projet de transformation digitale significatif. Cette séquence (architecture d'abord, transformation ensuite) a permis d'éviter les risques caractéristiques des transformations conduites sur des architectures insuffisamment sécurisées.
GovTech a développé le Government Commercial Cloud (GCC), infrastructure cloud gouvernementale sécurisée, en intégrant les principes Security by Design dès les spécifications. Chaque service déployé sur le GCC doit satisfaire des exigences de sécurité prédéfinies selon la sensibilité des données traitées. La classification des données précède tout développement, et les contrôles de sécurité sont des prérequis à la mise en production, pas des ajouts optionnels. Ce modèle a permis à Singapour de déployer plus de 700 services gouvernementaux numériques avec un niveau de conformité sécurité documenté.