Développement logiciel sécurisé : le choix des Five Eyes

L’alliance dite des Five Eyes exhorte l’industrie du logiciel à intégrer la sécurité dès la phase de conception et par défaut.

L’alliance de renseignement et de sécurité dite des Five Eyes* – États-Unis, Canada, Australie, Nouvelle-Zélande, Royaume-Uni – et d’autres entités alliées** ont publié un nouvel ensemble de directives. Ces dernières visent à renforcer la protection du développement logiciel, en réponse aux inquiétudes croissantes quant à la vulnérabilité des produits technologiques.

Dans ce contexte, l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) et ses partenaires exhortent l’industrie mondiale du software à intégrer la sécurité dès la phase de conception et par défaut (« security-by-design & -default »).

Dans ce but, en plus de recommandations techniques, ils énoncent plusieurs principes fondamentaux et mettent en exergue les « meilleures » pratiques dans ce domaine.

Déployer un cadre de développement logiciel sécurisé

Responsabilité partagée, transparence, gouvernance repensée…

L’ambition de la directive conjointe [PDF] est d’inciter la filière à apporter des changements substantiels dans la manière dont elle développe des programmes et applications.

Pour ce faire, le secteur peut s’appuyer sur le cadre de développement logiciel sécurisé (SSDF) de l’autorité américaine des normes et de la technologie (National Institute of Standards and Technology, NIST). Le SSDF regroupe un ensemble de pratiques qui peuvent être intégrées à chaque étape du cycle de vie du développement, de la planification au déploiement.

Ces bonnes pratiques couvrent notamment les éléments suivants :

– Langages de programmation sécurisés
– Fondation matérielle sécurisée
– Composants logiciels sécurisés
– Framework sécurisé de conception web
– Requêtes paramétrées
– Tests de sécurité d’applications statiques et dynamiques (SAST/DAST)

– Revue de code
– Inventaire et traçabilité des composants (SBOM ou Software Bill of Material)
– Programmes de divulgation des vulnérabilités
– Exhaustivité des vulnérabilités CVE
– Défense en profondeur des infrastructures
– Satisfaction des objectifs de performance cyber (CPG)

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’intéresse également de près au développement logiciel sécurisé, en langage C notamment.

*CISA, NSA et FBI (États-Unis), CCCS (Canada), ACSC (Australie), NCSC NZ et CERT NZ (Nouvelle Zélande), NCSC UK (Royaume-Uni) | **BSI (Allemagne), NCSC-NL (Pays-Bas).

(crédit photo © Adobe Stock)