38
Software Assurance Maturity Model http://www.opensamm.org Pravir Chandra OpenSAMM Project Lead [email protected] Translated to French by Hubert Grégoire [email protected]

Software Assurance Maturity Model Pravir Chandra OpenSAMM Project Lead [email protected] Translated to

Embed Size (px)

Citation preview

Page 1: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Software Assurance Maturity Model

http://www.opensamm.org

Pravir ChandraOpenSAMM Project Lead

[email protected] to French by Hubert Grégoire

[email protected]

Page 2: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Sommaire•Inventaires des différentes initiatives

pour la sécurisation des développements

•Comprendre le modèle

•Mettre en oeuvre le modèle

•Explorer les niveaux et actions du modèle

•SAMM dans le monde réel

Page 3: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

A la suite de ce cette intriduction vous serez

capables de...• Evaluer les pratiques en sécurité des logiciels

d ’une entreprise

• Construire a plan d’assurance qualité des logiciels équilibré en des étapes bien définies

• Démontrer les améliorations concrètes d’un plan de qualité en sécurité

• Définir et mesurer les actions liées à la sécurité au travers de l’entreprise.

Page 4: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Inventaire des initiatives des méthodes de développement

sécurisées

Page 5: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

CLASP• Comprehensive, Lightweight Application Security

Process

• Centré autour des 6 Bonnes Pratiques de l’AppSec

• Recouvre l’ensemble du cycle de vie du logiciel (pas seulement le développement)

• Adaptable à beaucoup de processus de développement

• Définie les rôles de tout le cyle de développement

• 24 mini procédures basé surles rôles

• Commence simplement et s’aligne sur vos besoins

Page 6: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Microsoft SDL

•Crée en interne pour les logicielsMS

•Etendu et rendu public pour les autres

•Seulement des version MS depuis

Page 7: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Touchpoints

•Le modèle de Gary McGraw’s et Cigital’s

Page 8: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Quelles leçons retenir ?

• Microsoft SDL

• Lourd, utilisable chez les gros éditeurs de logiciels

• Touchpoints

• Haut niveau, pas assez de détail pour l’opérationnel

• CLASP

• Large ensemble de tâches, mais pas de priorité

• Tous: Bon pour des experts en guise de manuel, mais complexe à utiliser tel quel pour une population non experte en sécurité

Page 9: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Règles pour le Maturity Model

• Les comportements d’une entreprise changent doucement

• Les changements doivent être itératifs tout au long d’un d’objectifs balisés

• Il n’y a pas qu’une seule recette qui fonctionne dans tous les entreprises

• La solution doit permettre de choisir des options adaptées sur mesure à l’entreprise selon les riques qu’elle veut prendre

• Le guide des tâches de sécurité doit être très précis

• La solution doit fournir assez de détails pour des personnes non expertes en sécurité

Page 10: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Mais, un modèle viable doit...

• Définir les briques de base d’un processus qualité

• Définir les contours de toutes les fonctions à l'intérieur de l’entreprise qui pourront être améliorées avec le temps

• Définir comment les briques doivent s’assembler

• Faire que tout changement dans les itérations soit un non sens

• Définir les détails de chaque brique de façon claire

• Clarifier les parties liées à la sécurité d’une façon le plus générique possible (pour toute entreprise faisant du développement logiciel)

Page 11: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Comprendre le modèle

Page 12: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

SAMM Business Functions

•Commencer par les tâches principales d ’une entreprise faisant du développement

•Nommées de façon génériques mais compréhensible par tout développeur ou manager

Page 13: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Les ‘Security Practices’ de SAMM

• A partir de chaque fonctions métiers, 3 ‘Security Practices’ sont définies

• Les ‘Security Practices’ recouvrent toutes la surface de l’assurance sécurité des logiciels

• Chacune est un ‘silo’ pour l’amélioration

Page 14: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Sous chaque ‘Security Practice’

• 3 cibles sous chaque ‘Practice’ définissent comment elle peuvent être améliorées dans le temps

• Cela établie à quel niveau une entreprise se trouve dans cette ‘Practice’

• Les trois niveaux d’une ‘Practice’ sont généralement:

• (0: Point de départ, ‘Practice’ non établie )

• 1: Compréhension initiale, et préparation à la mise en place de la ‘Practice’

• 2: Monté en puissance et/ou ‘Practice’ opérationnelle

• 3: Maitrise complète de la ‘Practice’

Page 15: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Exemple...

Page 16: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Pour chaque niveau, SAMM définie...•Un objectif

•Des tâches

•Des résultats

•Des mesures

•Des coûts

•Des rôles

•Des niveaux relatifs

Page 17: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Approche par l’amélioration itérative

• Jusqu’à ce que les douze ‘Practices’ soient à maturité, les objectifs successifs représentent les briques de base du programme d’assurance sécurité du logiciel

• Simplement s’assurer et améliorer le programme d ’assurance sécurité du logiciel en :

• Choisissant la ‘Practices’ pour améliorer la prochaine phase du programme d’assurance sécurité du logiciel

• Atteindre le prochain objectif de chaque ‘Practice’ en atteignant le seuil de succès de la tâche correspondante

Page 18: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Appliquer le modèle

Page 19: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Mener les évaluations

•SAMM comprends des feuilles d ’évaluation pour chaque ’Security Practice’

Page 20: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Processus d ’évaluation•Supporte à la fois des évaluations

légeres et des évaluations plus complètes

•Certaines entreprise peuvent se retrouver entre deux niveaux (+)

Page 21: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Feuille de score (scorecoard)

• Analyses détaillée

• Mesure des scores des différentes attentes, plutôt qu’un note brute

• Démonstration de l’amélioration

• Mesure des score avant et après une itération du programme d ’assurance sécurité

• Mesure au fil de l’eau

• Mesure des scores sur des période de temps pour un programme déjà en place

Page 22: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Feuilles de route

• Pour rendre les «Briques de base» utilisable, SAMM définie des modèles de feuille de route (Roadmaps) pour certains type d’entreprises

• Editeur de logiciels (ISV)

• Fournisseur de service en ligne (OSP)

• Monde de la finance (FSO)

• Administrations (GO)

• Ces type ont été choisi car

• Ils représente des cas d’usage courant

• Chaque entreprise varie dans un type de risque induits par les logiciels

• Création d'un programme optimal d'assurance adapté

Page 23: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Construire le programme d’assurance

sécurité

Page 24: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Etude de cas•Un passage en revue complet avec des

explications littérale des choix que l’entreprise a fait, et des améliorations

•Chaque phase est décrite en détail

•Contraintes organisationnelles

•Choix faire/acheter

•Une étude de cas existe aujourd’hui, d ’autres issues de partenaires sont en cours

Page 25: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Explorer les niveaux du modèle et les tâches

Page 26: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Le livrable SAMM 1.0

Page 27: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

SAMM et le monde réel

Page 28: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Histoire de SAMM•Beta livrée en Août 2008

•version 1.0 livrée en Mars 2009

•Fondé à l’origine par Fortify

•Toujours très actif et utilise ce modèle

•Mis à disposition sous une licence de style Creative Commons

•Cédé à l’OWASP et actuellement un Projet de l’OWASP

Page 29: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Contributions d ’experts

• Fondations basées sur l’expérience issue de plus de 100 entreprises

• Comprenant des experts en sécurité, des développeurs, architectes, et managers IT

Page 30: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Soutenu par l’Industrie

•Plusieurs autres études de cas en cours

Page 31: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Le projet OpenSAMM

• http://www.opensamm.org

• Dédié à la définition, à l’amélioration et aux tests du framework SAMM

• Toujours indépendant de tout éditeur, mais nombreuses participations de l’industry

• Ouvert et géré par la communauté

• Objectif d’une nouvelle version tous les 6-12 mois

• Processus de gestion des changements

• SAMM Enhancement Proposals (SEP)

Page 32: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Projets Futurs•Mise en correspondance avec des

standards et des normes existantes (nombreux projets en cours)

•PCI, COBIT, ISO-17799/27002, ISM3, etc.

•Nouvelles feuilles de route si nécessaire

•Etudes de cas supplémentaires

•Prise en compte des retours pour l’amélioration du modèle

Page 33: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Autres approches “modernes”

•Microsoft SDL Optimization Model

•Fortify/Cigital Building Security In Maturity Model (BSIMM)

Page 34: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

SDL Optimization Model

•Fait par MS pour simplifier l’adoption de SDL

Page 35: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

BSIMM

•Framework dérivé de la Béta de SAMM

•Basé sur les données consolidées de 9 grands comptes

Page 36: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Récapitulatif rapide sur SAMM

• Evaluer les pratiques existantes des entreprise en matière de sécurité des logiciels

• Construire un programme d’assurance sécurité du logiciel équilibré en étapes successives clairement définies

• Démontrer des améliorations concrètes d’un programme d’assurance sécurité

• Définir et mesurer les actions en matière de sécurité au traveers de l’entreprise

Page 37: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Impliquez vous

•Utilisez SAMM et faites nous un retour

•Blog, email, etc.

•Actualités à http://www.opensamm.org

•Inscrivez vous sur la liste de diffusion

Page 38: Software Assurance Maturity Model   Pravir Chandra OpenSAMM Project Lead chandra@owasp.org Translated to

Merci pour votre attention ! Questions?

http://www.opensamm.org

Pravir ChandraOpenSAMM Project Lead

[email protected] part Hubert Grégoire

[email protected]