Sécurité des applications : la norme ISO 27034

La norme ISO 27034 fournit un cadre et des bonnes pratiques pour intégrer la sécurité dans le cycle de développement et d’acquisition des applications. Cette norme fait partie du programme des certifications CISSP, domaine 8, et CCSP. La sécurité des applications est influencée par le contexte métier de l’entité, ses exigences légales et réglementaires et son environnement technique. Le bénéfice de ce cadre est d’apporter la démonstration que la sécurité est intégrée tout au long du cycle de développement. Cette norme fait le lien avec d’autres référentiels comme l’ISO 29193 (conception sécurisée des systèmes), l’ISO 21827 (Systems Security Engineering – Capability Maturity Model), l’ISO 27001 (certification d’un système de management de la sécurité de l’information), l’ISO 27005 (gestion des risques de sécurité de l’information). Ce référentiel complète les principes de conception sécurisée (critères communs et ISO 19249). D'autres référentiels sont régulièrement utilisés comme SAFECodeSSDF BSIMM et SAMM.

 

Structure de la norme

La norme ISO 27034 comprend les parties suivantes :

  •  Concepts.
  • Référentiel normatif.
  • Processus de gestion de la sécurité.
  • Validation de la sécurité.
  • Structures de données.
  • Exemples de mesures de sécurité.
  • Lien avec PASR (Prediction Application Security Rationale).

Principaux concepts

L’ISO 27034 permet de démontrer que la sécurité est mise en œuvre au niveau souhaité. Cette cible est appelé dans la norme TLT - Targeted Level of Trust.

Deux ensembles de processus sont définis :

  • Le processus de gestion ONF (Organization Normative Framework) qui est le cadre au niveau de l’entité. Par exemple, si l’entité prévoit des audits de code systématiques, le cadre définit les modalités pour conduire ces audits. Ce cadre définit aussi les rôles et responsabilités au sein de l’entité. Les ANF (Application Normative Framework) sont un sous-ensemble de l’ONF pour un groupe spécifique d’applications (par exemple applications de paiement ou industrielles).
  • Les processus ASMP (Application Security Management Process) spécifiques à chaque type d’application :
    • Définition des exigences.
    • Evaluation des risques.
    • Création du référentiel applicatif.
    • Exploitation de l’application.
    • Audit de la sécurité.

Les ASCL (Application Security Control Library) comprennent les documents et référentiels à appliquer par l’entité d’un point de vue légal (données personnelles par exemple), réglementaire ou contractuelles (PCI DSS par exemple) et techniques (configurations reconnues de TLS pour chiffrer les données en transit par exemple).

ISO27034 ASCL

Source : AFNOR

Les ASC (Application Security Control) représentent le catalogue des mesures de sécurité, comme par exemple le NIST 800-53, ISO 27002, le référentiel CIS ou encore la CCM pour le Cloud.

Les processus comprennent aussi bien la sécurisation des opérations de développement interne que les aspects liés à la sous-traitance (voir aussi le concept de SCRM).

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

CISSP, CCSP, SSDLC, Applications, ISO 27034