Que l’on soit un grand éditeur ou une start-up du Cloud et de la mobilité, il est urgent d’adopter des bonnes pratiques en matière de développement sécurisé. Tel est le message de la Security Develpment Conference 2013 organisée par Microsoft qui s’est ouverte hier à San Francisco…

Microsoft a ouvert hier soir la deuxième édition de la Security Development Conference à San Francisco. Un thème qui devient de plus en plus crucial à l’heure où des petits génies s’amusent à développer des frameworks pour prendre le contrôle d’un avion depuis un smartphone, où le monde de la santé cherche de nouvelles voies de collaboration numérique et où les infrastructures sont prises d’assaut par des cyber armes. Pourtant, la conférence SDC demeure encore quelque peu confidentielle avec quelque 500 participants (plus du double de la première édition). Elle réunit éditeurs, RSSI, agences gouvernementales et développeurs autour des problématiques de gestion des risques de sécurité au cœur même du cycle de vie des logiciels.

Microsoft éclaire la norme ISO 27034-1

Durant le keynote d’ouverture, Microsoft, par la voix de Scott Charney VP du TrustWorthy Computing Group, a émis une déclaration de conformité au standard ISO 27034-1, mettant ainsi en lumière cette norme très récente et en faisant le thème central de cette édition 2013 de la SDC. ISO/IEC 27034-1 est le premier standard international à spécifiquement cibler les pratiques de développement sécurisé et l’infrastructure organisationnelle dans laquelle le code est développé. Il définit les concepts, frameworks et processus pour aider les organisations à intégrer la sécurité au cœur de leur cycle de vie des développements logiciels.

L’heure d’un changement culturel

Pour Steve Lipner, Partner Director du TWC Group, « Le développement sécurisé n’est plus cette chose qu’il est bien d’avoir. C’est désormais une obligation. Avec le Cloud et les apps mobiles, les développeurs ont d'autres choses en tête que la sécurité et ne l'intègrent pas dans leurs urgences ». Selon une étude ComScore de Novembre 2012, 61% des développeurs interrogés n’exploitent pas les technologies existantes d’atténuation des risques de vulnérabilités telles que ASLR (Address Space Layout Randomization), SEHOP ou DEP (Data Execution Prevention) ou encore les outils intégrés aux compilateurs et Visual Studio. « Mais l’actualité récente montre qu’ils ont tort » ajoute Steve Lipner. « Les entreprises, quelle que soit leur taille, ne peuvent plus se permettre de construire leur activité en ligne sans faire de la sécurité une priorité. Pour commencer, leurs développeurs devraient télécharger les outils gratuits mis à leur disposition et s’intéresser de près à ce standard ISO ». Un avis partagé par Howard Schmidt, directeur du SAFECode et co-sponsor de la SDC, qui estime que « le standard ISO 27034 est suffisamment souple et léger pour que même les plus petites structures de développement puissent l’embrasser ».

Le SDL pour mieux approcher la norme

Cette déclaration de conformité émise par Microsoft permet à l’éditeur de mettre un coup de projecteur sur l’initiative SDL qui satisfait et dépasse même les exigences d’ISO 27034-1. Pour Scott Charney, « l’adoption du SDL simplifié par les équipes de Devs est, pour l’entreprise, un accélérateur vers la certification ISO ». Rappelons que le framework SDL (Security Development Lifecycle) est une approche holistique mise en œuvre pour le développement de logiciels (et matériels) plus sécurisés. Fruit de l’initiative TrustWorthy Computing mise en œuvre dès 2002 chez Microsoft après les grandes attaques virales, le framework SDL a été rendu public en 2007 et n’a cessé d’évoluer depuis, jusqu’à connaître l’an dernier une évolution « Simplified SDL » applicable au développement agile.

Une mise en pratique immédiate

« Le manque de connaissance et de formation des développeurs sur les problématiques de sécurisation du code est un obstacle qu’il faut désormais lever » estiment Steve Lipner et Howerd Schmidt. Afin d’encourager les développeurs à s’intéresser davantage au développement sécurisé, Microsoft a rendu public toute une série d’outils et guides à télécharger gratuitement (www.microsoft.com/security/sdl).
De son côté, Howard Schmidt a annoncé lors de la SDC 2013 la disponibilité de formations en ligne gratuites et Webcasts autour de la sécurisation des développements couvrant de nombreux sujets allant de la lutte contre les injections SQL à l’éradication des attaques XSS (Cross Site Scripting). Ils sont disponibles sur : training.safecode.org.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143688
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI