Skip to main content
Accueil Phase N°1 Phase N°2 Phase N°3 Phase N°4 Phase N°5 Phase N°6 Nouveau !

 

Pour en savoir plus sur:

Phase N°1: Nommer un coach sécurité - Phase de définitions des exigencesPhase N°1: Nommer un coach sécurité

Phase de définitions des exigences

La nécessité de prendre en compte la sécurité sur l'ensemble du processus constitue le principe fondamental du développement de systèmes sécurisés. Tandis qu'un grand nombre de projets de développement produisent des « versions suivantes » élaborées à partir de versions précédentes, la phase de définition des exigences et de planification initiale d'une nouvelle version offre l'occasion idéale d'élaborer un logiciel sécurisé.

Au cours de la phase de définition des exigences, l'équipe produit contacte l'équipe de sécurité centrale afin qu'elle lui attribue un conseiller en sécurité (appelé le « compagnon de sécurité » dans l'implémentation du SDL chez Microsoft) faisant office d'interlocuteur, de ressource et de guide tout au long de la planification du processus.

Le conseiller en sécurité assiste l'équipe produit en examinant les plans, en formulant des recommandations et en s'assurant que l'équipe de sécurité prévoit les ressources adéquates pour prendre en charge le programme de l'équipe produit. Le conseiller en sécurité guide l'équipe produit dans chaque étape de sécurité et pour les critères de sortie requis en fonction de la taille du projet, de sa complexité et des risques encourus. Le conseiller en sécurité reste l'intermédiaire entre l'équipe produit et l'équipe de sécurité du début du projet jusqu'à la fin de la révision de sécurité finale et le lancement du logiciel. Le conseiller en sécurité assure également la communication entre l'équipe de sécurité et les responsables de l'équipe produit et avertit ces derniers de l'état de l'aspect sécuritaire du projet afin d'éviter toute surprise relative à la sécurité en fin de processus.

La phase de définition des exigences représente l'occasion pour l'équipe produit de réfléchir à la façon dont la sécurité sera intégrée dans le processus de développement, d'identifier les objectifs de sécurité fondamentaux, ainsi que d'optimiser la sécurité du logiciel tout en minimisant les interruptions au niveau de la planification et du calendrier. Dans le cadre de ce processus, l'équipe a besoin de réfléchir à la manière dont les fonctions de sécurité et les mesures d'assurance de son logiciel vont s'intégrer à d'autres logiciels susceptibles d'être utilisés en combinaison avec son logiciel (l'interaction avec d'autres logiciels est un aspect crucial à prendre en compte afin de satisfaire les besoins des utilisateurs d'intégrer des produits individuels dans des systèmes sécurisés).

L'approche générale de l'équipe produit relative aux objectifs, aux défis et aux planifications en matière de sécurité doit se refléter dans les documents de planification élaborés lors de la phase d'exigences. Les planifications étant susceptibles d'être modifiées à tout moment, une définition de ces plans en début de projet permet qu'aucune exigence ne soit négligée ou évoquée à la dernière minute.

Chaque équipe produit doit prendre en compte les exigences des fonctions de sécurité en tant que partie intégrante de cette phase. Tandis que certaines exigences en matière de fonctions de sécurité sont identifiées en réponse à la modélisation des menaces, les exigences de l'utilisateur sont susceptibles d'imposer l'introduction de fonctions de sécurité pour répondre à la demande des clients. Le besoin de compatibilité avec les normes industrielles et les processus de certification tels que celui de Common Criteria influent sur les exigences en matière de fonctions de sécurité. L'équipe produit doit reconnaître et répercuter ces exigences dans le cadre de son processus de planification normal.

 

 

retour à la phase 1

 

 

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?