Développement sécurisé

Introduction


Le développement de logiciels sécurisés est crucial pour protéger les informations sur les fournisseurs, les clients ou autres, pour empêcher tout accès non autorisé et atténuer le risque de menaces, garantissant ainsi l'intégrité, la confidentialité et la disponibilité des systèmes numériques. Le Groupe Altus a adopté le NIST Secure Software Development Framework (SSDF) et ses principes directeurs.



Nos principes directeurs


  • Un état d'esprit de sécurité est établi et maintenu tout au long des processus d'architecture logicielle, de conception et de livraison.

  • Nous n’avons aucune tolérance pour la perte ou la divulgation non autorisée ou accidentelle d’informations client ou d’autres informations sensibles. Produire des services sécurisés par défaut et résilients est un principe directeur clé pour le Groupe Altus lors de la conception et du développement de ces services.

  • Nous développons des logiciels en toute sécurité, non pas comme une activité distincte superposée ou placée après le « développement logiciel normal », mais plutôt comme un processus entièrement intégré qui touche tous les aspects et implique tous les niveaux de capacité de développement de logiciels et de produits.

  • Le logiciel est développé de manière sécurisée et intégré aux processus établis de développement de logiciels et de fourniture de technologies, impliquant tous les niveaux de capacité de développement de logiciels et de produits.

  • Nous définissons et gérons un processus pour documenter, énumérer, évaluer et atténuer ou accepter les risques, les menaces ou les vulnérabilités avec une piste d'audit et l'approbation de la direction.


Compétences et formation


Le Groupe Altus garantit que nos collaborateurs, nos processus et notre technologie sont prêts à effectuer un développement logiciel sécurisé. Employés du Groupe Altus impliqués dans le cycle de vie du développement logiciel (SDLC) sont équipés et préparés pour remplir leurs rôles et responsabilités liés au SDLC tout au long du SDLC.



Normes, processus, modèles et lignes directrices


Nous exigeons que nos collaborateurs, nos processus et notre technologie soient prêts à effectuer un développement logiciel sécurisé au niveau de l'organisation. Nous suivons les normes et processus SDLC établis par le Groupe Altus. Les nouveaux modèles suivent nos processus approuvés avant d'être formellement adoptés et approuvés



Gestion des identifiants et des accès


Les informations d'identification contrôlent l'accès pour protéger les informations sur les fournisseurs, les clients ou d'autres informations. Le déploiement d'un système de gestion des informations d'identification solide ou de plusieurs systèmes de gestion des informations d'identification est essentiel pour sécuriser tous les systèmes et informations et éviter tout accès non autorisé.

  • Nous stockons les informations d'identification et les secrets dans des référentiels ou des coffres-forts approuvés par le Groupe Altus

  • Les informations d'identification ou les secrets du code ne sont pas intégrés dans le code

  • Les informations d'identification ou les secrets ne sont partagés directement avec personne

  • L'accès aux environnements de production est réservé uniquement au personnel opérationnel de l'entreprise



Architecture et design


Au cours des phases d'architecture et de conception, nous identifions et documentons les exigences de sécurité pour les infrastructures, les processus de développement logiciel du Groupe Altus et les logiciels développés par le Groupe Altus et maintenons ces exigences au fil du temps.



Automatisation et chaînes d'outils


La mise en œuvre de chaînes d'outils de support nous aide à utiliser l'automatisation pour réduire l'effort humain et améliorer la précision, la reproductibilité, la convivialité et l'exhaustivité des pratiques de sécurité via le SDLC.

  • Les pratiques de sécurité établies dans l'industrie sont utilisées pour déployer, exploiter et maintenir les outils et les chaînes d'outils.

  • Le logiciel est configuré pour avoir des paramètres de sécurité renforcés par défaut


Gestion des vulnérabilités


Nous identifions les vulnérabilités, notamment à l'aide d'outils d'analyse automatisés, afin qu'elles puissent être corrigées avant la publication du logiciel afin d'empêcher toute exploitation. Les vulnérabilités doivent être divulguées et corrigées après le processus de gestion des vulnérabilités.


Gestion des risques et modélisation des menaces


Identifier et évaluer les exigences de sécurité du logiciel, déterminer les risques de sécurité auxquels le logiciel est susceptible d'être confronté pendant son fonctionnement et comment la conception et l'architecture atténueront ces risques, répondre aux exigences de sécurité et aux risques lors de l'architecture et de la conception du logiciel est essentiel pour améliorer la sécurité du logiciel.

  • Les équipes produit effectuent une modélisation des risques ou des menaces pour les composants et les fonctionnalités et utilisent les résultats pour éclairer la conception et la mise en œuvre du logiciel.

  • Nous comprenons les menaces liées à la gestion des données, aux processus métier, aux systèmes et aux composants et celles-ci sont enregistrées et atténuées

  • La modélisation des menaces est effectuée dès la phase de conception pendant le développement du logiciel à l'aide de méthodologies appropriées et des contre-mesures sont mises en œuvre avant la mise en service


Gestion de l'environnement et du code


Mettre en œuvre et maintenir des environnements sécurisés pour protéger le code source contre tout accès non autorisé et toute falsification.

  • Nous séparons et protégeons chaque environnement impliqué dans le développement de logiciels

  • Nous suivons les exigences en matière de contrôles de protection pour protéger la propriété intellectuelle des conceptions ou du code en cours de développement

  • Nous ne publions pas de code développé pour le Groupe Altus dans des référentiels publics en dehors des référentiels approuvés du Groupe Altus

  • Nous avons besoin de révisions de code significatives

  • Les autorisations d'accès au code et aux référentiels sont révisées régulièrement

  • Nous suivons des pratiques de codage sécurisées adaptées aux langages et à l'environnement de développement pour répondre aux exigences de sécurité du Groupe Altus


Essai

Nous testons le code exécutable pour identifier les vulnérabilités et vérifier la conformité aux exigences de sécurité.

  • Nos systèmes disposent du niveau de test de sécurité approprié


Gestion des versions / déploiement

La gestion des versions garantit que les équipes de publication fournissent efficacement les applications logicielles et les mises à niveau requises par l'entreprise tout en préservant l'intégrité de l'environnement de production existant

  • Nous suivons les processus établis de publication de produits et de gestion des modifications, y compris la publication de la documentation justificative

  • Les déploiements de logiciels sont effectués de manière entièrement automatisée

  • Les mises à jour logicielles sont mises en œuvre à mesure que les activités de routine et les processus de maintenance sont automatisés


Liens rapides
Contrôle d'accèsNorme d'assuranceGestion du changementGouvernance d'entrepriseNorme cryptographiqueSécurité RHPlan de réponse aux incidentsAppareils mobiles et ordinateurs portablesSécurité InternetSécurité physique et environnementaleGestion des risquesDéveloppement sécurisé