SEC11-BP01 Formation à la sécurité des applications

Formez les concepteurs de votre organisation aux pratiques courantes de développement et d'exploitation sécurisés des applications. L'adoption de pratiques de développement axées sur la sécurité permet de réduire la probabilité d'apparition de problèmes décelés uniquement au stade de l'examen de la sécurité.

Résultat souhaité : les logiciels doivent être conçus et construits en tenant compte de la sécurité. Lorsque les concepteurs d'une organisation sont formés à des pratiques de développement sécurisées qui commencent par un modèle de menace, la qualité et la sécurité globales des logiciels produits s'en trouvent améliorées. Cette approche peut réduire le délai de livraison des logiciels ou des fonctionnalités, car moins de retouches sont nécessaires après la phase d'examen de la sécurité.

Aux fins de cette bonne pratique, le développement sécurisé désigne le logiciel conçu et les outils ou systèmes qui soutiennent le cycle du développement logiciel (SDLC).

Anti-modèles courants :

Attendre un examen de la sécurité, puis réfléchir aux propriétés de sécurité d'un système.
Laisser toutes les décisions en matière de sécurité à l'équipe de sécurité.
Ne pas communiquer sur la manière dont les décisions prises au cours du cycle de développement du logiciel sont liées aux attentes ou aux politiques générales de l'organisation en matière de sécurité.
S'impliquer trop tard dans le processus d'examen de la sécurité.

Avantages liés au respect de cette bonne pratique :

Meilleure connaissance des exigences organisationnelles en matière de sécurité dès le début du cycle de développement.
Possibilité d'identifier les problèmes de sécurité potentiels et d'y remédier plus rapidement, ce qui se traduit par une mise à disposition plus rapide des fonctionnalités.
Amélioration de la qualité des logiciels et des systèmes.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : moyen

Directives d'implémentation

Formez les concepteurs de votre organisation. Une formation à la modélisation des menaces constitue une bonne base pour se former à la sécurité. Idéalement, les concepteurs devraient pouvoir accéder en libre-service aux informations pertinentes pour leur charge de travail. Cet accès leur permet de prendre des décisions éclairées sur les propriétés de sécurité des systèmes qu'ils construisent, sans avoir à solliciter une autre équipe. Le processus de participation de l'équipe de sécurité aux révisions doit être clairement défini et simple à suivre. Les étapes du processus de révision doivent être ajoutées à la formation à la sécurité. Lorsque des modèles d'implémentation connus sont disponibles, ils doivent être faciles à trouver et à relier aux exigences de sécurité globales. Envisagez d'utiliser AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) Constructs, Service Catalog, ou d'autres outils de modélisation pour réduire la nécessité d'une configuration personnalisée.

Étapes d'implémentation

Commencez par donner aux concepteurs un cours sur la modélisation des menaces afin de leur donner une bonne base et de les aider à penser à la sécurité.
Fournissez un accès aux formations AWS Training and Certification, de l'industrie ou des partenaires AWS.
Dispensez une formation sur le processus d'examen de la sécurité de votre organisation, qui clarifie la répartition des responsabilités entre l'équipe chargée de la sécurité, les équipes responsables de la charge de travail et les autres parties prenantes.
Publiez des conseils en libre-service sur la manière de répondre à vos exigences en matière de sécurité, y compris des exemples de code et des modèles, s'ils sont disponibles.
Recueillez régulièrement les commentaires des équipes de concepteurs sur leur expérience du processus d'examen de la sécurité et de la formation, et utilisez ces commentaires pour vous améliorer.
Utilisez des tests de simulation de pannes ou des campagnes de chasse aux bogues pour réduire le nombre de problèmes et améliorer les compétences de vos concepteurs.

Ressources

Bonnes pratiques associées :

SEC11-BP08 Création d'un programme permettant aux équipes responsables de la charge de travail de s'approprier les mécanismes de sécurité

Documents connexes :

AWS Training and Certification
How to think about cloud security governance
How to approach threat modeling
Accelerating training – The AWS Skills Guild (Accélérer la formation – AWS Skills Guild)

Vidéos connexes :

Proactive security: Considerations and approaches

Exemples connexes :

Services associés :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC 11 Comment intégrer et valider les propriétés de sécurité des applications tout au long du cycle de vie de la conception, du développement et du déploiement ?

SEC11-BP02 Automatisation des tests tout au long du cycle de développement et de publication