Security Intelligence Center

Navigation
Secure Development Life Cycle
Six pratiques pour améliorer la sécurité des produits
  • Cycle de vie de développement sécurisé

    Le cycle de vie de développement sécurisé (SDL) de Juniper est un processus qui vise à développer des produits sécurisés et résilients. Le programme SDL de Juniper est composé de six pratiques fondamentales.

Pratique n°1 : formation au codage sécurisé

Le codage sécurisé représente la première étape du cycle de vie de développement sécurisé. Chez Juniper, tous les développeurs de logiciels doivent suivre cette formation ; il s'agit d'une base permettant de construire des logiciels plus résilients. Cette formation est proposée pour plusieurs langages de programmation : les développeurs suivent le cours dont ils ont besoin.

La formation au codage sécurisé aborde les notions de base du codage sécurisé, de la conception sécurisée, des tests sécurisés et de la confidentialité.

Juniper estime que chaque personne impliquée dans le développement de logiciels est responsable de la sécurité des produits logiciels. Cela inclut les responsables, les gestionnaires de programmes, les testeurs et le personnel informatique. Dans cette optique, la formation au cycle de vie de développement sécurisé est disponible pour tous les employés 24 h/24, 7 j/7, et propose un large éventail de formations complémentaires qui traitent des bases du codage sécurisé.

Pratique n°2 : notions de sécurité en conception

La pratique n°2 du cycle SDL définit les mesures de sécurité qui doivent être adoptées par les ingénieurs et les responsables Juniper lors de la phase de planification du développement de produits. Au cours de cette phase, les ingénieurs et les responsables produit doivent aborder de manière formelle les risques de sécurité dans les documents de planification Juniper tels que les documents relatifs aux spécifications fonctionnelles et à la configuration produit requise.

Pratique n°3 : modélisation des menaces

La modélisation des menaces évalue les menaces potentielles qui pèsent sur un produit. La modélisation des menaces détermine les risques liés à ces menaces et définit les limites des mesures d'atténuation appropriées.

Les modèles de menaces aident les développeurs à définir la surface d'attaque des produits, c'est-à-dire l'étendue et la gravité des attaques auxquelles ils sont exposés. Par exemple, un mot de passe faible peut être exploité par une attaque en force, ou l'utilisation d'un port TCP/IP éphémère prévisible peut permettre à un attaquant de créer une attaque de réinitialisation TCP.

La modélisation des menaces établit un cadre qui permet d'analyser la sécurité en détail en identifiant et en énumérant les problèmes.

Pratique n°4 : tests de pénétration

Une fois que la stratégie de sécurité d'un produit a été définie, le SDL de Juniper préconise l'évaluation et la validation des risques de sécurité au moyen de tests de pénétration. Les tests de pénétration correspondent à une méthodologie d'évaluation de la sécurité dans le cadre de laquelle des pirates informatiques éthiques imitent des attaques véritables afin d'identifier les méthodes permettant de contourner les fonctionnalités de sécurité d'une application, d'un système ou d'un réseau. Cette méthodologie implique de lancer des attaques réelles contre des systèmes de test, en s'appuyant sur les outils et les techniques couramment utilisés par les adversaires.

Les tests de pénétration utilisent les modèles de menaces pour mettre au point un plan de tests de pénétration basé sur les surfaces d'attaque et les menaces identifiées.

Pratique n°5 : examen de sécurité de validation

L'examen de sécurité de validation correspond à l'examen de la stratégie de sécurité d'un produit avant sa mise sur le marché afin d'identifier et d'évaluer les risques de sécurité résiduels et les résultats de toutes les étapes du cycle SDL. Le résultat final doit offrir une vue d'ensemble de la stratégie de sécurité, non seulement en ce qui concerne la version du logiciel à paraître, mais également pour les personnes, les systèmes et les procédures qui ont participé à son développement et qui devront assurer l'assistance technique associée tout au long de son cycle de vie.

Pratique n°6 : Programme d'intervention de sécurité

Les produits qui sont dépourvus de toute vulnérabilité connue au moment de leur mise sur le marché peuvent devenir la cible de menaces au fil du temps. Le programme d'intervention de sécurité détaille la façon dont Juniper réagit aux vulnérabilités potentielles sur ses produits et comment ces menaces et les mesures d'atténuation correspondantes sont communiquées aux clients.

Cette pratique s'appuie sur le cadre de l'équipe d'intervention de sécurité Juniper Networks (Juniper SIRT), réputé dans toute l'industrie, pour réagir aux problèmes de sécurité. Face aux problèmes de sécurité, le programme s'appuie sur les outils, les meilleures pratiques, les procédures et les relations déjà utilisés par l'équipe SIRT.

Livres blancs

Juniper Networks Secure Development Cycle