La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead Translated to.

Présentations similaires


Présentation au sujet: "Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead Translated to."— Transcription de la présentation:

1 Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead Translated to French by Hubert Grégoire

2 Sommaire Inventaires des différentes initiatives pour la sécurisation des développements Comprendre le modèle Mettre en oeuvre le modèle Explorer les niveaux et actions du modèle SAMM dans le monde réel

3 A la suite de ce cette intriduction vous serez capables de... Evaluer les pratiques en sécurité des logiciels dune entreprise Construire a plan dassurance qualité des logiciels équilibré en des étapes bien définies Démontrer les améliorations concrètes dun plan de qualité en sécurité Définir et mesurer les actions liées à la sécurité au travers de lentreprise.

4 Inventaire des initiatives des méthodes de développement sécurisées

5 CLASP Comprehensive, Lightweight Application Security Process Centré autour des 6 Bonnes Pratiques de lAppSec Recouvre lensemble du cycle de vie du logiciel (pas seulement le développement) Adaptable à beaucoup de processus de développement Définie les rôles de tout le cyle de développement 24 mini procédures basé surles rôles Commence simplement et saligne sur vos besoins

6 Microsoft SDL Crée en interne pour les logicielsMS Etendu et rendu public pour les autres Seulement des version MS depuis

7 Touchpoints Le modèle de Gary McGraws et Cigitals

8 Quelles leçons retenir ? Microsoft SDL Lourd, utilisable chez les gros éditeurs de logiciels Touchpoints Haut niveau, pas assez de détail pour lopérationnel CLASP Large ensemble de tâches, mais pas de priorité Tous: Bon pour des experts en guise de manuel, mais complexe à utiliser tel quel pour une population non experte en sécurité

9 Règles pour le Maturity Model Les comportements dune entreprise changent doucement Les changements doivent être itératifs tout au long dun dobjectifs balisés Il ny a pas quune seule recette qui fonctionne dans tous les entreprises La solution doit permettre de choisir des options adaptées sur mesure à lentreprise selon les riques quelle veut prendre Le guide des tâches de sécurité doit être très précis La solution doit fournir assez de détails pour des personnes non expertes en sécurité

10 Mais, un modèle viable doit... Définir les briques de base dun processus qualité Définir les contours de toutes les fonctions à l'intérieur de lentreprise qui pourront être améliorées avec le temps Définir comment les briques doivent sassembler Faire que tout changement dans les itérations soit un non sens Définir les détails de chaque brique de façon claire Clarifier les parties liées à la sécurité dune façon le plus générique possible (pour toute entreprise faisant du développement logiciel)

11 Comprendre le modèle

12 SAMM Business Functions Commencer par les tâches principales dune entreprise faisant du développement Nommées de façon génériques mais compréhensible par tout développeur ou manager

13 Les Security Practices de SAMM A partir de chaque fonctions métiers, 3 Security Practices sont définies Les Security Practices recouvrent toutes la surface de lassurance sécurité des logiciels Chacune est un silo pour lamélioration

14 Sous chaque Security Practice 3 cibles sous chaque Practice définissent comment elle peuvent être améliorées dans le temps Cela établie à quel niveau une entreprise se trouve dans cette Practice Les trois niveaux dune Practice sont généralement: (0: Point de départ, Practice non établie ) 1: Compréhension initiale, et préparation à la mise en place de la Practice 2: Monté en puissance et/ou Practice opérationnelle 3: Maitrise complète de la Practice

15 Exemple...

16 Pour chaque niveau, SAMM définie... Un objectif Des tâches Des résultats Des mesures Des coûts Des rôles Des niveaux relatifs

17 Approche par lamélioration itérative Jusquà ce que les douze Practices soient à maturité, les objectifs successifs représentent les briques de base du programme dassurance sécurité du logiciel Simplement sassurer et améliorer le programme dassurance sécurité du logiciel en : 1. Choisissant la Practices pour améliorer la prochaine phase du programme dassurance sécurité du logiciel 2. Atteindre le prochain objectif de chaque Practice en atteignant le seuil de succès de la tâche correspondante

18 Appliquer le modèle

19 Mener les évaluations SAMM comprends des feuilles dévaluation pour chaque Security Practice

20 Processus dévaluation Supporte à la fois des évaluations légeres et des évaluations plus complètes Certaines entreprise peuvent se retrouver entre deux niveaux (+)

21 Feuille de score (scorecoard) Analyses détaillée Mesure des scores des différentes attentes, plutôt quun note brute Démonstration de lamélioration Mesure des score avant et après une itération du programme dassurance sécurité Mesure au fil de leau Mesure des scores sur des période de temps pour un programme déjà en place

22 Feuilles de route Pour rendre les «Briques de base» utilisable, SAMM définie des modèles de feuille de route (Roadmaps) pour certains type dentreprises Editeur de logiciels (ISV) Fournisseur de service en ligne (OSP) Monde de la finance (FSO) Administrations (GO) Ces type ont été choisi car Ils représente des cas dusage courant Chaque entreprise varie dans un type de risque induits par les logiciels Création d'un programme optimal d'assurance adapté

23 Construire le programme dassurance sécurité

24 Etude de cas Un passage en revue complet avec des explications littérale des choix que lentreprise a fait, et des améliorations Chaque phase est décrite en détail Contraintes organisationnelles Choix faire/acheter Une étude de cas existe aujourdhui, dautres issues de partenaires sont en cours

25 Explorer les niveaux du modèle et les tâches

26 Le livrable SAMM 1.0

27 SAMM et le monde réel

28 Histoire de SAMM Beta livrée en Août 2008 version 1.0 livrée en Mars 2009 Fondé à lorigine par Fortify Toujours très actif et utilise ce modèle Mis à disposition sous une licence de style Creative Commons Cédé à lOWASP et actuellement un Projet de lOWASP

29 Contributions dexperts Fondations basées sur lexpérience issue de plus de 100 entreprises Comprenant des experts en sécurité, des développeurs, architectes, et managers IT

30 Soutenu par lIndustrie Plusieurs autres études de cas en cours

31 Le projet OpenSAMM Dédié à la définition, à lamélioration et aux tests du framework SAMM Toujours indépendant de tout éditeur, mais nombreuses participations de lindustry Ouvert et géré par la communauté Objectif dune nouvelle version tous les 6-12 mois Processus de gestion des changements SAMM Enhancement Proposals (SEP)

32 Projets Futurs Mise en correspondance avec des standards et des normes existantes (nombreux projets en cours) PCI, COBIT, ISO-17799/27002, ISM3, etc. Nouvelles feuilles de route si nécessaire Etudes de cas supplémentaires Prise en compte des retours pour lamélioration du modèle

33 Autres approchesmodernes Microsoft SDL Optimization Model Fortify/Cigital Building Security In Maturity Model (BSIMM)

34 SDL Optimization Model Fait par MS pour simplifier ladoption de SDL

35 BSIMM Framework dérivé de la Béta de SAMM Basé sur les données consolidées de 9 grands comptes

36 Récapitulatif rapide sur SAMM Evaluer les pratiques existantes des entreprise en matière de sécurité des logiciels Construire un programme dassurance sécurité du logiciel équilibré en étapes successives clairement définies Démontrer des améliorations concrètes dun programme dassurance sécurité Définir et mesurer les actions en matière de sécurité au traveers de lentreprise

37 Impliquez vous Utilisez SAMM et faites nous un retour Blog, , etc. Actualités à Inscrivez vous sur la liste de diffusion

38 Merci pour votre attention ! Questions? Pravir Chandra OpenSAMM Project Lead Traduit part Hubert Grégoire


Télécharger ppt "Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead Translated to."

Présentations similaires


Annonces Google