Quand le poker limite les failles logicielles

Par 26 février 2009

L'université de Caroline du Nord a mis au point un système coopératif basé, comme aux cartes, sur l'anticipation du jeu des autres. Le but : trouver les failles potentielles de sécurités dans les logiciels avant qu'ils soient programmés.

La technologie seule ne suffit pas à faire des logiciels de véritables forteresses imperméables aux attaques. C'est en tout cas ce que pense l'université de Caroline du Nord, qui mise sur le brainstorming humain pour réduire les risques en amont. Elle développe un programme de gestion du risquedestiné à identifier les failles de sécurités dans les programmes informatiques avant leur réalisation. Le système, baptisé Protection Poker, s'inspire des techniques de déduction que requièrent des jeux comme le poker. "Les managers présentent à leur équipe de programmeurs leurs idées pour les applications qu'ils veulent ajouter au logiciel", explique Laurie Williams, coordinatrice du projet. Puis ces derniers doivent voter sur deux questions : quelle valeur a cette donnée qui va être utilisée par le nouvel élément ?
Une technique coopérative
Et, à quel point sera-t-il facile d'attaquer ce nouvel élément? La réponse est donnée grâce à un jeu de carte spécial. Celui-ci permet de noter l'élément de 1 à 100. A un moment donné tout le monde retourne sa carte. Ceux qui ont voté pour les deux extrêmes sont invités à s'expliquer. Pour Laurie Williams, c'est ce moment qui permet le partage des connaissances car "celui qui pense que le risque est grand connaît probablement une chose que les autres ignorent". Une méthode simple et peu onéreuse qui est efficace. Tous les membres du projet sont mis à contributions afin d'augmenter la diversité des expériences et le savoir sur la sécurité du logiciel.
Un outil efficace pour le travail d'équipe
Cet échange ayant lieu au moment du planning, les failles ainsi détectées ne sont pas programmées. Autre avantage : "en plus d'identifier les lacunes de sécurité, c'est aussi un outil de développement d'équipe car chacun est invite à s'exprimer". Elle ajoute à L'Atelier que son équipe travaille sur une solution logicielle. Celle-ci permettra d'automatiser une partie du brainstorming lors des réunions des équipes. Le projet pilote a été lancé avec Red Hat IT (fournisseur Linux et de logiciels open-sources) et a d'après ses développeurs déjà permis d'identifier et d'éviter que des failles de sécurités soient intégrées au projets logiciels de l'entreprise.

Mentions légales © L’Atelier BNP Paribas