Vous l’avez compris, les bonnes pratiques que nous avons vues dans les parties précédentes permettent de réduire la surface des applications exposée aux nombreuses menaces et vulnérabilités. Elles concernent principalement la phase de développement de l’application.
Intégrer la sécurité dans la phase de développement est indispensable pour éviter les vulnérabilités béantes dans vos applications, mais il est aussi très important d’adopter, dans le cycle de vie complet du logiciel, une approche où la sécurité est prise en compte à chaque étape.
Pourquoi devrais-je m’intéresser à la sécurité en phase d’analyse ou pendant le déploiement ? À quoi ça sert de mettre en place la sécurité au cœur du cycle de vie des logiciels dans l’entreprise ? Quels sont les moyens à la disposition des équipes ? Quels sont les bénéfices attendus ?
Voyons cela en détail ensemble !
Quels sont les avantages de cette méthodologie ?
Vos applications s’inscrivent souvent dans un contexte plus large d’une entreprise en parallèle d’autres applications métier ou d’autres logiciels qui participent à la mission de l’organisme. Dans ce contexte complexe, mettre en place une démarche globale de sécurité et la prendre en compte au plus tôt revêtissent plusieurs avantages :
La montée en compétence de l’ensemble des équipes projets dans le domaine de la sécurité. Placer la sécurité au cœur de l’équipe projet permet à tous les acteurs (architecte, analystes, développeurs et cadres dirigeants) d’acquérir, en fonction de leurs besoins respectifs, la connaissance et les ressources pour concevoir, développer et déployer des logiciels sécurisés ;
Le coût financier et humain lié à la correction d’une vulnérabilité augmente exponentiellement avec le temps. Prendre en compte la sécurité dès la phase d’étude d’opportunité garantit un retour sur investissement sur le long terme.
L’évaluation des pratiques existantes de développement logiciel d’une organisation en termes de sécurité ;
La construction d’un plan de sécurité global et équilibré dont bénéficieront vos applications, et adapté aux risques spécifiques auxquels l’entreprise fait face ;
L’amélioration concrète d’un plan global existant ;
La formalisation, la mesure et le suivi des activités liées à la sécurité dans toute l’entreprise.
Par exemple, Microsoft, le géant américain de l’informatique, a développé une approche de développements logiciel globale appelée SDL (Security Development Lifecycle). Elle a été mise en place pour le développement des produits Windows Server 2003, SQL Server 2000 SP 3 et Exchange 2000 Server. Son implémentation s’est traduite par des améliorations significatives et mesurables de la sécurité et par la réduction de l’incidence des failles.
En résumé
Dans la prochaine partie, nous verrons comment implémenter cette méthodologie.
