Quel modèle de maturité adresse spécifiquement les problématiques de sécurité dans le cycle de développement des applications (SDLC) ?

[A] BSIMM

[B] CMMI

[C] NIST RMF

[D] NIST CSF


reponse linkedin

CBK7 Q05 LINK


CMMI (Capability Maturity Model Integration) a été développé dans les années 80 par le SEI (Software Engineering Institute) de l’université Carnegie-Mellon pour appréhender et mesurer la qualité des services rendus par les fournisseurs de logiciels du département de la Défense des États-Unis (DoD).  Repris par l’ISACA en 2016, CMMI est aujourd’hui un modèle de référence pour décrire les principes et les bonnes pratiques afin d’améliorer la maturité et la qualité des processus de développement logiciel mais le modèle n’adresse pas spécifiquement les problématiques de sécurité dans le cycle de développement des applications.

Le NIST RMF (Risk Management Framework) est un cadre de gestion des risques développé par le NIST et n’adresse pas spécifiquement les problématiques de sécurité dans un SDLC.

Le NIST CSF (CyberSecurity Framework) est un cadre pour l’amélioration de la Cybersécurité des infrastructures critiques développé également par le NIST. Le CSF propose de gérer les cyberattaques selon une approche en 5 phases : identifier, protéger, détecter, répondre et rétablir. Tout comme le RMF, le CSF n’adresse pas spécifiquement les problématiques de sécurité dans un SDLC.

BSIMM (Building Security In Maturity Model) est un modèle de maturité concernant la sécurité dans les logiciels. BSIMM est développé et maintenu par la société américaine Synopsys. Ce modèle de maturité est basé sur un comité d’experts de grandes sociétés (Dell, HP,…) qui réalisent depuis 2008 des études pour comparer leurs pratiques en matière d’intégration de la sécurité dans les développements logiciels. BSIMM est actuellement à sa 13ème itération (septembre 2022) et intègre les résultats de quelques 130 sociétés. Le framework BSIMM13 comprend un ensemble de 125 activités de sécurité applicative réparties en 12 catégories (appelée pratiques) elles-mêmes structurées en 4 domaines (governance, intelligence, SSDL touchpoints, deployment).

La bonne réponse est donc la proposition [A] BSIMM

On voit que sur Linkedin, la bonne réponse (BSIMM) est celle qui a reçu le moins de suffrage (10%). Cela ne me surprend pas vraiment car on constate depuis longtemps de grosses lacunes en matière de sécurité applicative dans les équipes Cybersécurité.

A titre d’illustration, dans l’enquête MIPS 2020 le CLUSIF a interrogé 350 entreprises françaises pour savoir quelles méthodes de développement sécurisé elles utilisaient. Le problème est que le questionnaire proposait BSIMM comme réponse possible alors que ce n’est absolument pas une méthode pour développer de manière sécurisée mais comme expliqué précédemment une façon de comparer son niveau de maturité en la matière. Les rédacteurs du questionnaire auraient-ils confondus BSIMM avec SAMM de l’OWASP ?

Vous pouvez voir ci-dessous les réponses à cette question. On notera que 9% des entreprises dans le secteur Industries/BTP indiquent utiliser BSIMM comme méthode de développement sécurisé. Et que penser des 32% (tous secteurs confondus) qui affirment utiliser des « bonnes pratiques pragmatiques »…

CBK7 Q05 CLUSIF BSIMM

 


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE