La modélisation des menaces (Threat Modeling) est une activité fondamentale pour identifier et traiter les failles dès la conception avant la phase de développement d’un logiciel ou d’un système. Cette activité fait partie des connaissances requises par les programmes des certifications CISSP : domaine 8, CCSP et CCSK. Certaines méthodes se focalisent sur les menaces et les problèmes de sécurité alors que d’autres comprennent une évaluation des risques au travers leur impact et leur vraisemblance. L’idéal est de planifier cette activité le plus tôt possible dans le cycle de développement, dès que l’architecture est définie. La modélisation doit être mise à jour si nécessaire. Par exemple dans le cas de changement de classification des informations, de modification de l’architecture, de changement de mode d’authentification ou d’autorisation, de modification des exigences métier concernant les exigences de traçabilité ou encore de mise à jour des méthodes cryptographiques.

La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).