Sécurité dans les développements : le modèle SAMM
Les failles de développement restent le talon d’Achille de la cybersécurité. Plusieurs référentiels visant à définir des bonnes pratiques à intégrer dans un cycle de développement sont disponibles. La norme ISO 27034 fournit un cadre organisationnel. Autres exemples de référentiels régulièrement utilisés : BSIMM, SSDF et SAFECode. Le modèle SAMM de l'OWASP est un modèle prescriptif, ouvert et mesurable. Il permet aussi bien d’évaluer ou d’auditer ses pratiques en sécurité des logiciels que d’élaborer un programme ou une feuille de route de développement sécurisé.
Généralités
SAMM est organisé autour de 5 fonctions et 15 pratiques de sécurité à 3 niveaux de maturité. Chaque pratique comprend 2 flux.
Source : OWASP
Pratiques de sécurité
Les 15 pratiques à évaluer ou à mettre en place sont les suivantes :
- Stratégie et indicateurs
- Politique et conformité
- Formation et sensibilisation.
- Évaluation des menaces
- Exigences de sécurité
- Architecture
- Développement
- Déploiement
- Gestion des failles
- Évaluation des architectures
- Matrices de test
- Test manuels et automatiques
- Gestion des incidents
- Sécurisation des environnements
- Gestion des opérations
Outils
OWASOWASP propose plusieurs outils intéressants en support du référentiel :
- Evaluationde la maturité, sous la forme d’un fichier (Excel ou Google), d’un outil en ligneou de l’outil tierce SAMMY
- Vidéos de formation
- Outil de recherche
- Une chaine Youtube