L’alliance de renseignement et de sécurité dite des Five Eyes* – États-Unis, Canada, Australie, Nouvelle-Zélande, Royaume-Uni – et d’autres entités alliées** ont publié un nouvel ensemble de directives. Ces dernières visent à renforcer la protection du développement logiciel, en réponse aux inquiétudes croissantes quant à la vulnérabilité des produits technologiques.
Dans ce contexte, l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) et ses partenaires exhortent l’industrie mondiale du software à intégrer la sécurité dès la phase de conception et par défaut (« security-by-design & -default »).
Dans ce but, en plus de recommandations techniques, ils énoncent plusieurs principes fondamentaux et mettent en exergue les « meilleures » pratiques dans ce domaine.
Responsabilité partagée, transparence, gouvernance repensée…
L’ambition de la directive conjointe [PDF] est d’inciter la filière à apporter des changements substantiels dans la manière dont elle développe des programmes et applications.
Pour ce faire, le secteur peut s’appuyer sur le cadre de développement logiciel sécurisé (SSDF) de l’autorité américaine des normes et de la technologie (National Institute of Standards and Technology, NIST). Le SSDF regroupe un ensemble de pratiques qui peuvent être intégrées à chaque étape du cycle de vie du développement, de la planification au déploiement.
Ces bonnes pratiques couvrent notamment les éléments suivants :
– Langages de programmation sécurisés
– Fondation matérielle sécurisée
– Composants logiciels sécurisés
– Framework sécurisé de conception web
– Requêtes paramétrées
– Tests de sécurité d’applications statiques et dynamiques (SAST/DAST)
– Revue de code
– Inventaire et traçabilité des composants (SBOM ou Software Bill of Material)
– Programmes de divulgation des vulnérabilités
– Exhaustivité des vulnérabilités CVE
– Défense en profondeur des infrastructures
– Satisfaction des objectifs de performance cyber (CPG)
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’intéresse également de près au développement logiciel sécurisé, en langage C notamment.
*CISA, NSA et FBI (États-Unis), CCCS (Canada), ACSC (Australie), NCSC NZ et CERT NZ (Nouvelle Zélande), NCSC UK (Royaume-Uni) | **BSI (Allemagne), NCSC-NL (Pays-Bas).
(crédit photo © Adobe Stock)
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…