News

Qualité logicielle : comment faire face à la dette technique et développer des solutions sécurisées ?

Publié le 12 novembre 2018

La présence de failles de sécurité dans un logiciel revêt un caractère majeur lorsqu’une entreprise adresse des besoins critiques. Cet aspect du développement est également majeur pour une société en passe d’effectuer un audit de ses actifs ou d’acquérir l’un de ses concurrents. Pour s’assurer de conserver une bonne qualité de ses assets logiciels, le standard CISQ - Consortium for IT Software Quality - peut devenir un allié de poids. C’est pourquoi TECH IN France a réuni éditeurs et experts afin d’élaborer des solutions pour limiter la dette technique.

Pour un éditeur de logiciels, disposer d’un code propre, exempt de toutes failles de sécurité peut représenter un véritable sacerdoce. La fonction nécessite en effet de disposer d’outils permettant de prévenir l’émergence de failles de sécurité. C’est dans cette optique que la norme internationale CISQ (Consortium for IT Software Quality) sur la qualité logicielle intervient. Elle promet d’agir comme un levier technique et commercial à la disposition des éditeurs de logiciels français.

Le consortium édite depuis 2010 des normes permettant de qualifier la qualité comparative des logiciels. Il ne propose pas per se de solution logicielle propre mais permet aux éditeurs tels que Cast ou Synopsis (spécialisé dans les systèmes embarqués) de développer des outils de conformité. Ces éléments peuvent ensuite être utilisés par les éditeurs pour assainir leur code.

Paul Camille Benz, ex-DSI et Directeur du CISQ pour l'Europe précise : « 90% des catastrophes sont provoquées par 10 % des défauts logiciels. C’est sur ces points qu’il faut travailler dans la majorité des cas. Les derniers travaux publiés l’ont été sur la dette technique des produits achetés, par exemple lors d’un rachat. Comment la mesurer, détecter les mauvaises pratiques à l’intérieur des outils et évaluer le coup d’une remédiation ? ». Des problématiques fortes en particulier à l’occasion d’une acquisition/fusion entraînant l’intégration de nouveaux éléments dans les actifs d’une entreprise.

Ainsi, un progiciel dont le code est vieillissant peut créer de facto une dette technique associée à un coût difficile à déterminer. Un montant dont les composantes comprennent généralement la maintenance annuelle tout comme la remédiation face aux éventuelles failles ou mauvaises conceptions.

Comment implémenter de nouvelles normes de sécurité ?

Le standard CISQ propose de s’implémenter au niveau système sur des points de fonction critiques du logiciel audité. L’analyse du code va décortiquer les interactions avec un niveau de finesse important. Ce travail de fond permet de reconstruire les transactions et de déterminer dans quelle mesure les défauts logiciels, même minimes, se cumulent.

Rémi Jacquet, Directeur Général Adjoint France Bénélux de Cast (éditeur proposant d’implémenter la norme) explique : « l’accumulation de défauts s’avère plus problématique que la seule présence d’une ou deux failles. Nous sommes en quelque sorte le ‘’bureau Veritas’’ du logiciel. Nous scrutons de manière statique la manière dont les développeurs ont travaillé afin d’établir une vue d’ensemble sur la totalité de ce que constitue le progiciel. De ce qui détermine la qualité de l’information ».

Les analyseurs entreprennent un listing complet des problématiques constatées puis, établissent, de manière automatique, un plan de remédiation. Ce type d’outil va enfin établir un niveau de priorisation des actions à entreprendre sous 30 jours. « Le fait qu’il existe une norme contribue à mettre à plat les débats et permet d’agir vite sans y consacrer d’investissements trop conséquents. Cast travaille en quelque sorte sur les murs porteurs pour soutenir la maison. Nous sommes neutres, pragmatiques et bienveillants », précise Rémi Jacquet.

Allianz : « Réinculquer une culture de la mesure de la qualité logicielle »

A l’occasion de cette table ronde sur la qualité logicielle organisée par TECH IN France une perception commune semble s’entendre. Celle que les « DSI ont la trouille dès qu’on leur parle de mesurer quelque chose », comprennent les personnes présentes. Un sentiment partagé par ceux qui se sont saisis de la question de la qualité intrinsèque de leurs propres actifs logiciels.

Bertrand Le Sage, Vice-président App Dev d’Allianz France témoigne : « Comment réinculquer une culture de la mesure ? C’est la question que j’ai dû poser avant le démarrage du processus. Nous évoluons dans un contexte qui nécessite une volonté de mesurer plus régulièrement nos actifs. Mais il ne faut pas avoir peur de voir les compteurs virer au rouge au départ. S’est posée la question de l’état des lieux au moment du lancement de nouvelles solutions, nous avons été rassurés dans l’idée d’avoir de la visibilité ».

Dans ce cadre, les acteurs du secteur prennent d’ores et déjà les devants pour que chaque éditeur puisse se targuer d’être conforme aux 5 piliers de la qualité logicielle : la robustesse de leurs actifs, leur efficacité, la sécurité, l’adaptation au changement et l’interopérabilité. Un pari patent en somme.