Vous travaillez dans une agence de développement ? Dans un centre de service spécialisé dans le développement ? ou encore chez un éditeur de logiciel ?
Les produits que vous proposez sont votre cœur de métier, et votre principale valeur business, alors pourquoi ne pas apporter une réflexion sur la protection et la pérennisation de cette valeur business dans un monde où les menaces informatiques sont sans cesse en évolution ?
J’emploie souvent la métaphore de l’arbre par rapport à l’organisation d’une entreprise.
Pour qu’un arbre ne tombe pas en cas de forte tempête, il lui faut des racines bien ancrées dans le sol et un tronc solide pour soutenir l’ensemble des branches.
Les racines et le tronc représentent votre modèle d’organisation, et les branches l’ensemble des services de votre entreprise qui découle de ce modèle.
Pour que votre modèle soit efficace, il faut qu’il soit mesurable, atteignable et qu’il puisse sensibiliser naturellement l’ensemble des collaborateurs sur des sujets de sécurité en fonction des différents métiers qui composent votre organisation, de vos besoins et de vos capacités.
Dans cet article, je vous propose un modèle d’organisation basé sur notre expérience de consultant en sécurité, et inspiré du modèle de maturité d’assurance logiciel OWASP SAMM :
Gouvernance
Pour que votre modèle d’organisation fonctionne, il faut effectuer une prise de hauteur globale sur vos processus, vos exigences et sur vos activités liées à votre cœur de métier.
Trois branches s’articulent autour de cette catégorie :
-
Stratégies et mesures
-
Politique de conformité
-
Education et orientation
Conception
Une architecture logicielle bien conçue est essentielle pour garantir la qualité, la sécurité et la performance de vos applications.
Une collecte des exigences, et une architecture basée sur ces mêmes exigences vont vous permettre d’économiser beaucoup d’efforts, du temps et de l’argent.
Voici les branches de cette catégorie :
-
Evaluation de la menace
-
Exigences de sécurité
-
Architecture de sécurité
Implémentation
Cette catégorie est celle qui a le plus d’impact sur la vie quotidienne de vos équipes de développeurs et OPS.
L’objectif est d’industrialiser au maximum les contrôles de sécurité durant le build (SB : Secure Build), durant la phase de déploiement (SD : Secure Deployment), et enfin sur la gestion des défauts (Defect Management).
Également trois branches pour cette catégorie :
-
Construction sécurisée
-
Déploiement sécurisé
-
Gestion des défauts
Vérification
Cette catégorie fait référence à divers points de vérification et de tests avant une mise en production.
Par exemple, vérifier que l’architecture respecte bien les exigences approuvées en amont, vérifier l’application des exigences de sécurité, et effectuer des tests de sécurité avec divers outils (IAC, SAST & DAST).
Voici les branches de cette catégorie :
-
Evaluation de l’architecture
-
Tests basés sur les exigences
-
Tests de sécurité
Opérations
Cette catégorie finale couvre le maintien opérationnel de l’application durant toute sa durée de vie, cela signifie également qu’il faut maintenir le niveau de confidentialité, d’intégrité et de disponibilité (CID) des données associées à celle-ci.
Voici les branches de cette catégorie :
-
La gestion des incidents
-
Gestion de l’environnement
-
Gestion opérationnelle
En conclusion, une organisation basée sur un modèle qui est mesurable et atteignable est essentielle pour garantir la qualité, la performance et la sécurité de vos applications.
De plus, le modèle présenté dans cet article peut-être complémentaire avec un ISMS ISO 27001.
“Alors que la certification ISO peut vous mettre un pied dans la porte avec les clients, SAMM vous donne l’approbation de leur équipe de sécurité.”
source : https://owaspsamm.org/blog/2023/03/21/how-iso-and-samm-complement-each-other/
Et enfin, la société Allistic peut vous aider à sensibiliser vos collaborateurs sur la mise en place de ce modèle organisationnel basé sur les différents modèles de l’OWASP (SAMM, ASVS, etc…) et sur la mise en place d’outils pour vous aider à appliquer ces exigences.
