L’alliance de renseignement et de sécurité dite des Five Eyes* – États-Unis, Canada, Australie, Nouvelle-Zélande, Royaume-Uni – et d’autres entités alliées** ont publié un nouvel ensemble de directives. Ces dernières visent à renforcer la protection du développement logiciel, en réponse aux inquiétudes croissantes quant à la vulnérabilité des produits technologiques.
Dans ce contexte, l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) et ses partenaires exhortent l’industrie mondiale du software à intégrer la sécurité dès la phase de conception et par défaut (« security-by-design & -default »).
Dans ce but, en plus de recommandations techniques, ils énoncent plusieurs principes fondamentaux et mettent en exergue les « meilleures » pratiques dans ce domaine.
Responsabilité partagée, transparence, gouvernance repensée…
L’ambition de la directive conjointe [PDF] est d’inciter la filière à apporter des changements substantiels dans la manière dont elle développe des programmes et applications.
Pour ce faire, le secteur peut s’appuyer sur le cadre de développement logiciel sécurisé (SSDF) de l’autorité américaine des normes et de la technologie (National Institute of Standards and Technology, NIST). Le SSDF regroupe un ensemble de pratiques qui peuvent être intégrées à chaque étape du cycle de vie du développement, de la planification au déploiement.
Ces bonnes pratiques couvrent notamment les éléments suivants :
– Langages de programmation sécurisés
– Fondation matérielle sécurisée
– Composants logiciels sécurisés
– Framework sécurisé de conception web
– Requêtes paramétrées
– Tests de sécurité d’applications statiques et dynamiques (SAST/DAST)
– Revue de code
– Inventaire et traçabilité des composants (SBOM ou Software Bill of Material)
– Programmes de divulgation des vulnérabilités
– Exhaustivité des vulnérabilités CVE
– Défense en profondeur des infrastructures
– Satisfaction des objectifs de performance cyber (CPG)
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’intéresse également de près au développement logiciel sécurisé, en langage C notamment.
*CISA, NSA et FBI (États-Unis), CCCS (Canada), ACSC (Australie), NCSC NZ et CERT NZ (Nouvelle Zélande), NCSC UK (Royaume-Uni) | **BSI (Allemagne), NCSC-NL (Pays-Bas).
(crédit photo © Adobe Stock)
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…