Pour gérer vos consentements :
Categories: Cybersécurité

Développement logiciel sécurisé : le choix des Five Eyes

L’alliance de renseignement et de sécurité dite des Five Eyes* – États-Unis, Canada, Australie, Nouvelle-Zélande, Royaume-Uni – et d’autres entités alliées** ont publié un nouvel ensemble de directives. Ces dernières visent à renforcer la protection du développement logiciel, en réponse aux inquiétudes croissantes quant à la vulnérabilité des produits technologiques.

Dans ce contexte, l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) et ses partenaires exhortent l’industrie mondiale du software à intégrer la sécurité dès la phase de conception et par défaut (« security-by-design & -default »).

Dans ce but, en plus de recommandations techniques, ils énoncent plusieurs principes fondamentaux et mettent en exergue les « meilleures » pratiques dans ce domaine.

Déployer un cadre de développement logiciel sécurisé

Responsabilité partagée, transparence, gouvernance repensée…

L’ambition de la directive conjointe [PDF] est d’inciter la filière à apporter des changements substantiels dans la manière dont elle développe des programmes et applications.

Pour ce faire, le secteur peut s’appuyer sur le cadre de développement logiciel sécurisé (SSDF) de l’autorité américaine des normes et de la technologie (National Institute of Standards and Technology, NIST). Le SSDF regroupe un ensemble de pratiques qui peuvent être intégrées à chaque étape du cycle de vie du développement, de la planification au déploiement.

Ces bonnes pratiques couvrent notamment les éléments suivants :

– Langages de programmation sécurisés
– Fondation matérielle sécurisée
– Composants logiciels sécurisés
– Framework sécurisé de conception web
– Requêtes paramétrées
– Tests de sécurité d’applications statiques et dynamiques (SAST/DAST)

– Revue de code
– Inventaire et traçabilité des composants (SBOM ou Software Bill of Material)
– Programmes de divulgation des vulnérabilités
– Exhaustivité des vulnérabilités CVE
– Défense en profondeur des infrastructures
– Satisfaction des objectifs de performance cyber (CPG)

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’intéresse également de près au développement logiciel sécurisé, en langage C notamment.

*CISA, NSA et FBI (États-Unis), CCCS (Canada), ACSC (Australie), NCSC NZ et CERT NZ (Nouvelle Zélande), NCSC UK (Royaume-Uni) | **BSI (Allemagne), NCSC-NL (Pays-Bas).

(crédit photo © Adobe Stock)

Recent Posts

Teams : Microsoft bientôt face à des accusations antitrust de l’UE ?

Selon le Financial Times, la Commission européenne se prépare à déposer des accusations antitrust formelles…

19 heures ago

OpenAI livre les clés du cadrage de ses modèles

OpenAI a codifié en un document (la « Model Spec ») son approche concernant le…

2 jours ago

Dell face à un vol potentiellement massif de données clients

Vers des opérations malveillantes sous le couvert du support Dell ? L'entreprise a subi un…

2 jours ago

Cloud : les start-up dénoncent aussi les pratiques de Microsoft

La liste des plaintes contre Microsoft s'allonge à l'initiative d'une association espagnole de start-up.

2 jours ago

Oracle choisit l’expertise Java et SQL pour son « IA qui code »

Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…

1 semaine ago

EPEI (Daniel Kretinsky) vise Atos : les axes directeurs de sa proposition

EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…

1 semaine ago