Model | Vérification | Évaluation de l'architecture
La pratique de l’Évaluation de l’Architecture (AA) veille à ce que les architectures de l’application et de l’infrastructure répondent de façon adéquate à toutes les exigences de sécurité et de conformité pertinentes et atténuent suffisamment les menaces de sécurité identifiées. Le premier flux vise à vérifier que les exigences de sécurité et de conformité identifiées dans les pratiques Politique & Conformité et Exigences de Sécurité sont respectées, d’abord de manière ad-hoc, puis de manière plus systématique pour chaque interface du système. Le deuxième flux examine l’architecture, d’abord pour des mesures d’atténuation contre les menaces typiques, puis contre les menaces spécifiques identifiées dans la pratique de l’Evaluation des Menaces.
Dans sa forme la plus avancée, la pratique formalise le processus de revue de l’architecture de sécurité, évalue continuellement l’efficacité des contrôles de sécurité de l’architecture, leur capacité de passage à l’échelle et leur alignement stratégique. Les faiblesses identifiées et les améliorations possibles sont renvoyées à la pratique de l’Architecture de Sécurité pour améliorer les architectures de référence.
| Maturity level | Stream AValidation de l'Architecture | Stream BRéduction de risques architecturale | |
|---|---|---|---|
| 1 | Revoir l'architecture pour s'assurer que les mesures de réduction de risque élémentaires sont en place pour les risques typiques. | Identifier les composants de l'architecture applicative et d'infrastructure et les passer en revue pour garantir un niveau de sécurité basique de l'approvisionnement | Revue ad hoc de l'architecture pour les menaces de sécurité non atténuées. |
| 2 | Examiner la liste complète des mécanismes de sécurité dans l'architecture. | Valider les mécanismes de sécurité de l'architecture | Analyser l'architecture par rapport aux menaces connues. |
| 3 | Examiner l'efficacité de l'architecture et des retours d'expérience pour améliorer l'architecture de sécurité. | Passage en revue de l'efficacité des composants d'architecture | Mettre en place une boucle de rétroaction pour les résultats de revue d'architecture vers l'architecture d'entreprise, les principes & les modèles de conception d'organisation, les solutions de sécurité et les architectures de référence. |