Model | Gouvernance | Stratégie & Métriques | Créer et Promouvoir
Benefit
Compréhension partagée de la posture de sécurité de votre organisation
Activity
Comprenez, en fonction de l’exposition au risque de l’application, quelles menaces existent ou peuvent exister, et à quel point la direction est tolérante face à ces risques. Cette compréhension est un élément clé pour déterminer les priorités en matière d’assurance sécurité des logiciels. Pour valider ces menaces, interviewez les dirigeants d’entreprise et les autres parties prenantes documentez les motivations propres à l’industrie dans laquelle l’organisme opère ainsi que les motivations propres à l’organisation. Les informations collectées incluent les scénarios les plus pessimistes qui pourraient avoir un impact sur l’organisation, de même que les occasions où un cycle de vie optimisé du développement de logiciels et des applications plus sécurisées pourraient fournir un différentiateur de marché ou créer des opportunités supplémentaires.
Les informations collectées fournissent une base de référence permettant à l’organisation de développer et de promouvoir son programme de sécurité applicative. Les éléments du programme sont rangés par ordre de priorité pour traiter d’abord les menaces et les opportunités les plus importantes pour l’organisation. La base de référence est divisée en plusieurs facteurs de risque et de motivation liés directement aux priorités de l’organisation et utilisés pour aider à établir un profil de risque pour chaque application développée sur mesure en documentant comment elle peut avoir un impact sur l’organisation si elle est compromise.
La base de référence et les facteurs de risque individuels devraient être publiés et mis à la disposition des équipes de développement d’applications afin d’assurer un processus plus transparent de création de profils de risque d’application et d’intégrer les priorités de l’organisation dans le programme. De plus, ces buts devraient fournir un ensemble d’objectifs qui devraient être utilisés pour garantir que toutes les améliorations au programme de sécurité des applications fournissent un soutien direct aux besoins actuels et futurs de l’organisation.
Question
Avez-vous une bonne compréhension de l'appétit de risque pour vos applications à travers l'entreprise?
Quality criteria
| Vous capturez l'appétit envers le risque des dirigeants de votre organisation |
| Les dirigeants de l'organisation valident et approuvent l'ensemble des risques |
| Vous identifiez les principales menaces métier et techniques pour vos actifs et vos données |
| Vous documentez les risques et les stockez dans un endroit accessible |
Answers
| Non |
| Oui, il couvre les risques courants |
| Oui, il couvre les risques propres à l'organisation |
| Oui, il couvre les risques et les opportunités |
Benefit
Feuille de route disponible et validée de votre programme AppSec
Activity
En fonction de l’ampleur des actifs, des menaces et de la tolérance aux risques, développez un plan stratégique et un budget pour traiter les priorités commerciales en matière de sécurité applicative. Le plan couvre 1 à 3 années et comprend des jalons conformes aux missions et aux risques de l’entreprise. Il fournit des initiatives tactiques et stratégiques et suit une feuille de route qui rend visible son alignement sur les priorités et les besoins de l’entreprise.
Dans la feuille de route, vous équilibrez les changements nécessitant des dépenses financières avec les changements de processus et de procédures et les changements affectant la culture de l’organisation. Cet équilibre permet de réaliser de multiples étapes simultanément sans surcharger ou épuiser les ressources disponibles ou les équipes de développement. Les jalons sont suffisamment fréquents pour aider à surveiller la réussite du programme et à déclencher les ajustements opportuns de la feuille de route.
Pour que le programme soit couronné de succès, l’équipe de sécurité applicative obtient le soutien des parties prenantes au sein de l’organisation et celui des équipes de développement d’applications. Un plan publié est à la disposition de toute personne qui est tenue de le soutenir ou de participer à sa mise en œuvre.
Question
Avez-vous un plan stratégique concernant la sécurité des applications et l'utilisez-vous pour prendre des décisions?
Quality criteria
| Le plan reflète les priorités métier de l'organisation et l'appétit envers le risque |
| Le plan comprend des jalons mesurables et un budget |
| Le plan est cohérent avec les intentions de l'entreprise et les risques |
| Le plan établit une feuille de route pour les initiatives stratégiques et tactiques |
| Les parties-prenantes adhèrent au projet, y compris les équipes de développement |
Answers
| Non |
| Oui, nous le revoyons chaque année |
| Oui, nous consultons le plan avant de prendre des décisions significatives |
| Yes, we consult the plan often, and it is aligned with our application security strategy value |
Benefit
Alignement continu du programme AppSec par rapport aux objectifs de l’organisation
Activity
Vous examinez périodiquement le programme de sécurité des applications afin de déterminer son applicabilité continue et son apport aux besoins en évolution de l’organisation et à sa croissance future. Pour ce faire, vous réitérez les deux étapes correspondant aux deux premiers niveaux de maturité de cette pratique de sécurité au moins annuellement. L’objectif est que le programme réponde toujours aux besoins actuels et futurs de l’organisation, ce qui garantit que le programme est aligné sur l’entreprise.
En plus de passer en revue les missions de l’entreprise, l’organisation surveille de près le succès de la mise en œuvre de chacune des étapes de la feuille de route. Vous évaluez le succès des jalons en fonction d’un large éventail de critères, y compris l’exhaustivité et l’efficacité de la mise en œuvre, les considérations budgétaires, ainsi que tout impact culturel ou changement résultant de l’initiative. Vous passez en revue les étapes manquées ou insatisfaisantes et évaluez les changements possibles au programme dans son ensemble.
L’organisation développe des tableaux de bord et des mesures pour la gestion et les équipes responsables du développement logiciel afin de surveiller la mise en œuvre de la feuille de route. Ces tableaux de bord sont suffisamment détaillés pour identifier les projets et les initiatives individuels et pour permettre de comprendre clairement si le programme est une réussite et est conforme aux besoins de l’organisme.
Question
Examinez-vous et mettez-vous à jour régulièrement le Plan Stratégique pour la sécurité applicative?
Quality criteria
| Vous revoyez et mettez à jour le plan en réponse à des changements significatifs dans l'environnement d'affaire, dans l'organisation ou dans son appétence envers le risque |
| Les étapes de mise à jour du plan comprennent la revue du plan avec toutes les parties prenantes et la mise à jour des facteurs de motivation et de la stratégie de l'entreprise |
| Vous ajustez le plan et la feuille de route en fonction des leçons tirées des activités terminées de la feuille de route |
| Vous publiez des informations sur l'état d'avancement des activités de la feuille de route, en vous assurant qu'elles sont accessibles à toutes les parties prenantes |
Answers
| Non |
| Oui, mais la revue est ad-hoc |
| Oui, nous le revoyons régulièrement |
| Oui, nous le revoyons au moins une fois par an |
Stream Guidance
There's no guidance for this Stream, yet. Be the first to provide Community guidance!
Want to contribute?
Complete this Google Form with guidance for this Stream.
To learn more about Stream guidance for the SAMM model, see the Stream guidance page.