Pour gérer vos consentements :
Categories: Cybersécurité

Développement logiciel sécurisé : le choix des Five Eyes

L’alliance de renseignement et de sécurité dite des Five Eyes* – États-Unis, Canada, Australie, Nouvelle-Zélande, Royaume-Uni – et d’autres entités alliées** ont publié un nouvel ensemble de directives. Ces dernières visent à renforcer la protection du développement logiciel, en réponse aux inquiétudes croissantes quant à la vulnérabilité des produits technologiques.

Dans ce contexte, l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) et ses partenaires exhortent l’industrie mondiale du software à intégrer la sécurité dès la phase de conception et par défaut (« security-by-design & -default »).

Dans ce but, en plus de recommandations techniques, ils énoncent plusieurs principes fondamentaux et mettent en exergue les « meilleures » pratiques dans ce domaine.

Déployer un cadre de développement logiciel sécurisé

Responsabilité partagée, transparence, gouvernance repensée…

L’ambition de la directive conjointe [PDF] est d’inciter la filière à apporter des changements substantiels dans la manière dont elle développe des programmes et applications.

Pour ce faire, le secteur peut s’appuyer sur le cadre de développement logiciel sécurisé (SSDF) de l’autorité américaine des normes et de la technologie (National Institute of Standards and Technology, NIST). Le SSDF regroupe un ensemble de pratiques qui peuvent être intégrées à chaque étape du cycle de vie du développement, de la planification au déploiement.

Ces bonnes pratiques couvrent notamment les éléments suivants :

– Langages de programmation sécurisés
– Fondation matérielle sécurisée
– Composants logiciels sécurisés
– Framework sécurisé de conception web
– Requêtes paramétrées
– Tests de sécurité d’applications statiques et dynamiques (SAST/DAST)

– Revue de code
– Inventaire et traçabilité des composants (SBOM ou Software Bill of Material)
– Programmes de divulgation des vulnérabilités
– Exhaustivité des vulnérabilités CVE
– Défense en profondeur des infrastructures
– Satisfaction des objectifs de performance cyber (CPG)

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’intéresse également de près au développement logiciel sécurisé, en langage C notamment.

*CISA, NSA et FBI (États-Unis), CCCS (Canada), ACSC (Australie), NCSC NZ et CERT NZ (Nouvelle Zélande), NCSC UK (Royaume-Uni) | **BSI (Allemagne), NCSC-NL (Pays-Bas).

(crédit photo © Adobe Stock)

Recent Posts

Microsoft propose une délocalisation hors de Chine à ses ingénieurs IA et Cloud

Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…

36 minutes ago

Du « Monde » à Reddit, le point sur les partenariats data d’OpenAI

Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?

44 minutes ago

Comment Younited a appliqué la GenAI au crédit conso

Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…

1 heure ago

Processeurs : les États-Unis fabriqueront 30 % des puces avancées d’ici 2032

Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…

21 heures ago

IBM ouvre ses LLM codeurs Granite : la recette et ses ingrédients

IBM publie, sous licence libre, quatre modèles de fondation Granite pour le code. Voici quelques…

23 heures ago

AWS va investir 7,8 milliards € dans son European Sovereign Cloud

C'est dans l'État de Brandebourg, en Allemagne, que sera lancée la première région AWS European…

1 jour ago