Skip to main content
Accueil Phase N°1 Phase N°2 Phase N°3 Phase N°4 Phase N°5 Phase N°6 Nouveau !

 

Introduction générale à la méthodologie SDLIntroduction générale à la méthodologie SDL

Les éditeurs de logiciels doivent impérativement se préoccuper des menaces de sécurité. La sécurité est une condition requise essentielle pour les éditeurs de logiciels, définie par les tendances du marché, la nécessité de protéger les infrastructures critiques et le besoin d'établir et de préserver une confiance largement répandue dans l'informatique. L'un des plus grands défis de l'ensemble des éditeurs de logiciels consiste à créer des logiciels mieux sécurisés nécessitant moins de mises à jour via des correctifs et une gestion de la sécurité moins pesante.

Pour l'industrie logicielle, la meilleure façon de satisfaire les exigences d'amélioration de la sécurité actuelles consiste à implémenter des processus répétitifs permettant d'obtenir et de mesurer de façon fiable l'amélioration de la sécurité. Par conséquent, les éditeurs de logiciels doivent passer à un processus de développement de logiciels plus strict, c'est-à-dire centré sur la sécurité. Un tel processus a pour but de réduire le nombre de vulnérabilités existantes en matière de sécurité dans la conception, le codage et la documentation et de détecter et supprimer ces failles le plus tôt possible au cours du cycle de développement. La nécessité d'un tel processus est d'autant plus grande pour les logiciels destinés aux entreprises et aux particuliers, susceptibles de traiter des données en provenance d'Internet, de contrôler des systèmes critiques exposés aux attaques ou de traiter des informations permettant d'identifier des personnes.

L'élaboration de logiciels à la sécurité renforcée repose sur trois aspects : un processus répétitif, la formation des développeurs, ainsi que des éléments de mesure et de transparence.

Si l'expérience de Microsoft constitue une indication, l'adoption de la méthodologie SDL par d'autres entreprises ne doit pas accroitre excessivement les coûts du développement de logiciels. D'après l'expérience de Microsoft, les avantages procurés par des logiciels mieux sécurisés (par exemple, moins de correctifs, plus de satisfaction client) l'emportent sur ces coûts additionnels.

Cela implique la modification des processus des entreprises éditrices de logiciels grâce à l'intégration de mesures permettant d'améliorer la sécurité des logiciels. Dans les phases suivantes, on énumère ces mesures et on décrit la façon dont elles s'intègrent dans le cycle de développement de logiciels type. L'objectif de ces modifications ne consiste pas à réviser totalement le processus, mais à ajouter des points de contrôle de sécurité bien définis et des tâches relatives à la sécurité.

La méthodologie SDL part du principe qu'il existe un groupe central au sein de l'entreprise (ou de l'éditeur de logiciels) gérant le développement et l'évolution des pratiques de sécurité recommandées et les améliorations des processus, constituant une source d'expertise pour l'entreprise en général et chargé d'effectuer une révision (la révision de sécurité finale ou FSR, « Final Security Review ») avant le lancement du logiciel.

D'après l'expérience de Microsoft, l'existence d'une telle organisation préside à la réussite de l'implémentation de la méthodologie SDL, ainsi qu'à l'amélioration de la sécurité des logiciels. Cependant, certaines entreprises peuvent recourir à un sous-traitant ou à un consultant pour jouer le rôle d'« équipe de sécurité centrale ».

Ces étapes ont été conçues et implémentées par Microsoft dans le cadre de son projet TCI (Trustworthy Computing Initiative). Les améliorations apportées à ce processus visent à réduire la quantité et la gravité des vulnérabilités de sécurité des logiciels utilisés par les clients. Dans ce document, le processus de développement de logiciels modifié, actuellement implémenté chez Microsoft, est appelé « Informatique de Confiance : Cycle de Développement Sécurisé », ou SDL.

Selon l'expérience de Microsoft, l'équipe de sécurité doit se tenir disponible car elle est fréquemment sollicitée au cours de la conception et du développement du logiciel. L'équipe doit également savoir préserver la confidentialité de données commerciales et techniques sensibles. Pour ces raisons, il est préférable de créer une équipe de sécurité au sein de l'entreprise éditrice de logiciels (bien qu'il semble parfois plus approprié de recourir à des consultants pour constituer une équipe et en former ses membres).

retour à la page accueil

 

 

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?