Développements

Cycle de développement sécurisé : le référentiel de SAFECode.

La prise en compte de la cyber sécurité dans les cycles de développement est une activité primordiale. Plusieurs référentiels de bonne pratique sont disponibles. Par exemple, la norme ISO 27034 fournit un cadre pour renforcer la sécurité du processus de développement. Autres exemples, le modèle BSIMM, SAMM et SSDFSAFECode est une association internationale qui se focalise sur les bonnes pratiques visant à améliorer la sécurité dans les développements. Cette organisation publie et met à jour régulièrement son référentiel de sécurisation du cycle de développement. Comment identifier les exigences. Comment gérer les composants externes « OpenSource » ou et propriétaires. Comment gérer les problèmes de sécurité. Comment traiter les vulnérabilités découvertes dans ses applications.

Nomenclature SBOM

Software Bill of MaterialsSBOM est un inventaire normé pour les logiciels, ses composants et ses indépendances. Il est développé par la National Telecommunications and Information Administration (NTIA) du ministère du commerce américain. Ces inventaires visent à être exhaustifs - ou à indiquer explicitement les points sur lesquels ils ne peuvent l'être. Les SBOM peuvent inclure des logiciels libres ou propriétaires. Les inventaires peuvent être disponibles publiquement ou à accès restreint. Les SBOM doivent inclure des attributs pour identifier de manière unique les composants dans un format de données standard. La génération la plus efficace de SBOM est intégré au processus de développement. Pour les logiciels plus anciens, il faut recourir à des méthodes manuelles. SBOM concourt à établir une cartographie des SI la plus précise possible et à répondre aux vulnérabilités touchant des composants massivement réutilisés.

Sécurité dans les développements : le modèle BSIMM.

Les vulnérabilités logicielles font partie des risques les plus élevés en cyber sécurité. Le référentiel BSIMM – Buiding Security in Maturity Modelest un outil intéressant pour comparer ses activités de sécurisation du cycle de développement avec les bonnes pratiques du domaine. Une étude annuelle, mise à jour depuis 2008 est menée auprès d’une centaine de grands groupes nord-américains. Cette enquête est suffisamment précise pour quantifier les activités. Le Secure SDLCfait partie du domaine 8 de la certification CISSP. Il est aussi abordé dans les certifications de sécurité Cloud. Cela rejoint aussi les bonnes pratiques C-SCRM en termes de sécurité de la sous-traitance et normes ISO 27034 sur la sécurisation des applications. D'autres référentiels comme SAMM, SAFEcode et SSDF sont régulièrement utilisés.

Sécurité dans les développements : le modèle SAMM

Les failles de développement restent le talon d’Achille de la cybersécurité. Plusieurs référentiels visant à définir des bonnes pratiques à intégrer dans un cycle de développement sont disponibles. La norme ISO 27034 fournit un cadre organisationnel. Autres exemples de référentiels régulièrement utilisés : BSIMMSSDF et SAFECode. Le modèle SAMM de l'OWASP est un modèle prescriptif, ouvert et mesurable. Il permet aussi bien d’évaluer ou d’auditer ses pratiques en sécurité des logiciels que d’élaborer un programme ou une feuille de route de développement sécurisé.