Le CAF (Cyber Assessment Framework) est produit par le Centre National de Cybersécurité anglais, une agence du gouvernement britannique, l’équivalent de l’ANSSI en France. Le CAF décrit une méthode pour évaluer la prise en compte des risques de cybersécurité pour les fonctions essentielles d’une entité. Cette évaluation peut prendre la forme d’une auto-évaluation ou d’un audit par une entité externe indépendante. L’évaluation comprend 4 objectifs et 14 principes spécifiant ce qui doit être réalisé. Le CAF inclut une collection d'indicateurs de bonnes pratiques (IGP) classés en en trois catégories (réalisé / non réalisé / partiellement réalisé). Pour qu’une exigence soit réalisée, il faut que toutes les règles soient en place. Inversement, il suffit qu’une règle ne soit pas en place pour que l’exigence soit indiquée comme « non-réalisée ».
La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).
