BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Appliquer la sécurité by design à l'aide de CMMI pour le développement

Appliquer la sécurité by design à l'aide de CMMI pour le développement

Pour permettre le développement de produits sécurisés, les processus dédiés aux développements de l'application doivent inclure des tâches liées à la sécurité. "La sécurité doit être prévue depuis le début et les produits doivent être sécurisés by design" expliquent Winfried Russwurm de chez Siemens et Peter Panhoizer de chez Limes Security. Ils ont animé un workshop lors de la conférence SEPG Europe 2013 durant lequel ils ont passé en revue les tâches liées à la sécurité et ont présenté le Guide d'Application pour Améliorer les Processus de Sécurisation des Produits.

Winfried et Peter ont demandé aux participants du workshop de venir avec des activités de développement dédiées qui devaient être effectuées pour améliorer la sécurité et pour créer un produit plus sécurisé. Ils ont catégorisé les idées proposées par les participants :

Organisation :

  • S'organiser en fonction des experts de sécurité
  • Améliorer les connaissances de chacun sur la sécurité et développer une culture de la sécurité
  • Proposer des formations sur la sécurité
  • Développer et mettre en oeuvre des politiques de sécurité

Conditions :

  • Prévoir l'intervention de hackers
  • Effectuer une analyse de risques de sécurité
  • Définir les exigences en matière de sécurité, e.g. à l'aide de user stories et de scénarios de sécurité

Architecture :

  • Centrer la conception des interfaces sur les risques de sécurité
  • Appliquer des règles d'architecture et des recommandations pour la sécurité
  • Identifier et appliquer des architectures éprouvées pour la sécurité

Implémentation :

  • Appliquer les standards de sécurisation des applications
  • Utiliser des outils pour valider la sécurité du code

Tests :

  • Planifier et effectuer les tests de sécurité
  • Utiliser des outils pour automatiser les tests de sécurité

Cycle de vie entier :

  • Effectuer des revues de sécurité et des vérifications
  • Identifier les sources de risque et les catégories permettant de faire des estimations des risques
  • Appliquer les leçons apprises par d'autres entreprises et d'autres communautés
  • Etablir des politiques autour des médias sociaux pour faire face aux problèmes de sécurité

Courant année 2013, le CMMI Istitute a publié le Guide d'Application pour Améliorer les Processus de Sécurisation des Produits. Ce guide d'application contient de nouveaux ensembles de processus dédiés aux aspects de la sécurité autour de l'ingénierie, la gestion de la sécurité dans les projets, et l'organisation des problématiques liées à la sécurité. Ce guide peut être utilisé avec Capability Maturity Model Integration for Development (CMMI-DEV) afin d'améliorer les processus pour que les organisations qui les utilisent puissent offrir des garanties de sécurité à leurs clients.

Le CMMI Institute et les auteurs du guide souhaiteraient avoir des retours de la part d'organisations qui ont utilisé ce guide. Toutes les remarques sont les bienvenues.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT