Le terme SDBD désigne la "Sécurité par Défaut et Bien Documentée". Il s'agit d'une méthode de conception visant à réduire les risques de sécurité dès la phase de développement d'un logiciel ou d’un système.
Ce principe est de plus en plus utilisé dans les environnements critiques, les entreprises réglementées, ou les systèmes exposés à internet.
Qu’est-ce que SDBD ?
SDBD signifie "Secure by Design and by Default". En français : sécurité par conception et par défaut.
Cela implique deux dimensions clés : intégrer la sécurité dès la phase de conception, et activer les protections sans intervention de l’utilisateur final.
Un système SDBD vise à empêcher les mauvaises configurations, limiter les failles potentielles et fournir une documentation claire sur les choix de sécurité faits par les développeurs.
À quoi sert SDBD ?
SDBD est utilisé pour renforcer la sécurité des logiciels, des services et des infrastructures dès leur conception.
Il évite de dépendre d’ajouts ultérieurs ou de paramétrages manuels, souvent sources d’erreurs.
Ce principe diminue le risque d’attaques exploitant des défauts de configuration ou des fonctions non sécurisées activées par défaut.
Il est souvent exigé dans les appels d’offres publics, dans les systèmes de santé, industriels ou dans les services cloud exposés.
Comment fonctionne SDBD ?
SDBD repose sur deux axes :
- Sécurité par conception : chaque fonctionnalité prend en compte les risques dès sa création.
- Sécurité par défaut : les réglages actifs dès l’installation sont les plus sûrs possibles.
Un développeur SDBD conçoit une application où aucun service inutile n’est activé par défaut, où les accès sont restreints, et où toute configuration comporte une justification claire dans la documentation.
L’objectif est que l’utilisateur n’ait pas besoin d’ajuster manuellement les paramètres pour obtenir un niveau de sécurité acceptable.
Différences avec des notions proches
SDBD est proche du concept "Secure by Design", mais y ajoute la dimension "par défaut", souvent négligée.
Contrairement aux approches qui rajoutent la sécurité après coup ("bolt-on security"), SDBD est intégré dès le début du cycle de vie du produit.
SDBD n’est pas une mesure unique, mais une exigence continue : chaque mise à jour ou nouvelle fonctionnalité doit conserver ces principes.
Exemples ou cas d’usage concrets
Un système d’exploitation SDBD désactive par défaut tous les ports réseau inutiles et chiffre les données sensibles automatiquement.
Une application web SDBD n’expose pas d’API sans authentification forte et limite les droits des utilisateurs par défaut.
Dans un cloud SDBD, les machines virtuelles ne disposent d’aucun accès public à leur création, sauf configuration volontaire.
Des éditeurs comme Microsoft ou Red Hat ont adopté des pratiques SDBD dans plusieurs de leurs produits récents, pour répondre aux exigences de sécurité des administrations et grandes entreprises.