Trois semaines pour lancer AppSec, le plan le plus simple pour améliorer votre profil de sécurité

'Shift security left' est un paradigme répandu dans l'industrie informatique. La plupart des start-ups sont désireuses de l'adopter, mais elles tombent sur des obstacles lors de son application dans la pratique. Il n'existe pas de lignes directrices communes sur la manière d'aborder la sécurité des applications. Sirris vous propose une solution : « le plan le plus simple d'amélioration du profil de sécurité en 3 semaines ».

Comment mettre en pratique 'shift security left' par la sécurité des applications

'Shift security left'  (la sécurité le plus tôt possible) est un paradigme répandu dans le secteur informatique. S’il est très facile à comprendre, il n’est pas évident à mettre en œuvre. L'idée de base est de trouver les vulnérabilités de sécurité le plus tôt possible au cours du développement du logiciel, afin de réduire le 'rework' par la suite. C'est tout simplement plus rapide et moins cher. Pour cette raison, savoir comment démarrer AppSec est utile. Son adoption exige plus que la simple utilisation des technologies et des outils : il s'agit d'un changement de culture, d'une approche intégrée de la sécurité des applications et d'un processus d'apprentissage continu. La plupart des start-ups sont désireuses de l'adopter, mais elles tombent sur des obstacles lors de son application dans la pratique.

Les stratégies existantes sont peut-être adaptées aux entreprises ayant un profil de sécurité défini, mais il n'existe pas de lignes directrices communes sur la manière d'aborder la sécurité des applications, surtout si les ressources et l’expertise de la start-up sont limitées. Quelles sont les mesures de base à prendre pour disposer d'un plan d'amélioration de la maturité de la sécurité clair et être prêt à répondre aux questions des clients sur la confiance et la sécurité ?

Le plan le plus simple d'amélioration du profil de sécurité en 3 semaines

Animés par la passion de trouver une solution pragmatique qui fonctionne vraiment pour les start-ups, nous avons mené un travail de recherche et de réflexion de près de trois mois chez Sirris. Résultat : le plan le plus simple d'amélioration du profil de sécurité en 3 semaines. Il s'inspire de la philosophie DevSecOps et des normes OWASP.

Voici un bref aperçu de la première semaine du plan le plus simple d'amélioration de la sécurité !

C'est notre premier blog sur trois pour vous aider à découvrir ce qu'il faut faire pour améliorer le profil de sécurité en commençant par la sécurité des applications.

Première semaine : formuler vos exigences et vos objectifs en matière de sécurité 

Partir des objectifs et des exigences permet d’avoir une vue d’ensemble et d'utiliser l'expression ‘sûr par nature’ lors des entretiens avec les clients. Comment ? Il existe plusieurs outils et normes, tels que l'OWASP Application Security Verification Standard et le Mobile ASVS, qui fournissent une base technique pour les prérequis de toute caractéristique dont vous avez besoin. Les exigences sont bien regroupées par caractéristiques et niveaux ou objectifs de sécurité.

Petit exemple 

Supposons qu'un développeur déploie une authentification par mot de passe dans une application qui stocke les données personnelles des clients. Cette application entre directement dans la catégorie application ASVS de niveau 2, ou le niveau de sécurité de base. Un ensemble de conditions de sécurité pour la fonction d'authentification du mot de passe (ou sprint) peut être dérivé de la section 2.1 d'ASVS. La sécurisation des mots de passe est soumise à 12 conditions :

Cette liste de conditions peut paraître longue et détaillée, mais la tâche du développeur est de s'assurer que la fonctionnalité est conforme à cette liste. Elle contient TOUTES les mesures actuelles de sécurité de mot de passe.
Comment organiser cela en pratique ? Pas d'inquiétude, des outils tels que l’OWASP Security Knowledge Framework et les OWASP Cheat Sheets 
regorgent d'exemples d’extraits de codes conseillés liés à chacune de ces conditions. En outre, SKF permet d’automatiser la sélection des fonctionnalités et la génération des conditions, et est extrêmement utile à ce stade. Cependant, le meilleur résultat de cette approche est probablement la prise de conscience : vous savez ce qui est nécessaire pour vous conformer et vous n'avez alors rien à faire de plus. Vous êtes au niveau 2 de l'OWASP pour l'authentification par mot de passe.

Quel sera le résultat de la première semaine ?

  • Vous serez en mesure de répondre à presque toutes les questions de sécurité du client.
  • Vous connaîtrez votre niveau de maturité de la sécurité et ce qui est nécessaire pour la mettre en œuvre.
  • Vous vous conformerez à une norme largement adoptée (OWASP).
  • Vous aurez une démonstration de faisabilité (générée avec l'aide d'OWASP SKF).

Disposer d'exigences de sécurité dès la phase de conception prédéveloppement permet de définir le profil de sécurité dès le départ, soit de mettre réellement en pratique le paradigme ‘shift security left’. N’est-il pas tentant de passer seulement une semaine à définir les exigences afin de connaître vos points critiques et votre maturité ? 

Curieux de découvrir les étapes suivantes ?

Il y a plus à venir ! Suivez-nous sur notre blog!

Vous avez des questions pratiques sur la sécurité des applications ? Contactez-nous!