Model | Opérations | Gestion de l'environnement
Le travail de l’organisation sur la sécurité des applications ne se termine pas une fois que l’application est opérationnelle. De nouvelles fonctionnalités de sécurité et de nouveaux correctifs sont régulièrement publiés pour les différents éléments de la pile technologique que vous utilisez, jusqu’à ce qu’ils deviennent obsolètes ou ne soient plus maintenus.
La plupart des technologies de n’importe quelle pile applicative ne sont pas sécurisées par défaut. Ceci est souvent intentionnel, pour améliorer la compatibilité ascendante ou la facilité d’installation. Pour cette raison, assurer le fonctionnement sécurisé de la pile technologique de l’organisation nécessite la mise en oeuvre cohérente de configurations sécurisées de base à tous les composants. La pratique de la Gestion de l’Environnement (GE) met l’accent sur la sécurité et la transparence de votre environnement.
Des vulnérabilités sont découvertes tout au long de la durée de vie des technologies que votre organisation utilise et de nouvelles versions qui les corrigent sont publiées à des moments divers. Il est donc essentiel de surveiller les rapports de vulnérabilité et de procéder à des correctifs de façon ordonnée et rapide pour tous les systèmes concernés.
| Maturity level | Stream ADurcissement de la Configuration | Stream BMise à jour et Correctifs | |
|---|---|---|---|
| 1 | Mise à jour et durcissement au meilleur de vos capacités | Effectuez un durcissement des configurations au maximum de vos possibilités, basé sur des informations facilement disponibles. | Effectuer un effort de déploiement des correctifs des composants du système et de l'application au mieux de vos capacités. |
| 2 | Processus formel avec un niveau minimal de référence en place | Effectuer un durcissement cohérent des configurations, en suivant les exigences minimales et les directives en place. | Effectuer des correctifs réguliers des composants du système et de l'application, à travers toute la pile. Assurez-vous que les correctifs sont livrés aux clients rapidement. |
| 3 | Conformité avec un processus d'amélioration continue effectif | Surveiller activement les configurations pour détecter les non-conformités aux exigences minimales, et gérer toute déviation comme un défaut de sécurité. | Surveiller activement le statut des mises à jour et gérer l'absence de mise à jour comme un défaut de sécurité. Obtenir de façon proactive des informations sur les vulnérabilités et les mises à jour pour les composants. |