Des standards pour évaluer les compétences en sécurité des développeurs

Le SANS Institute propose de créer un standard pour tester les aptitudes des développeurs à programmer des applications sûres.
Les développeurs vont devoir réviser. Le SANS (Sysadmin, Audit, Network, Security) Institute, une organisation anglo-saxonne regroupant quelque 165 000 professionnels de la sécurité des systèmes d'information, travaille
en effet à la mise au point de tests standards destinés à vérifier les aptitudes des développeurs à programmer des applications sécurisées.L'objectif de l'initiative est de permettre aux entreprises de s'assurer que leurs programmeurs ?" intervenant en interne ou chez un sous-traitant ?" connaissent les techniques de base permettant
de sécuriser leurs développements. Le SANS, qui propose déjà des tests pour les développeurs adeptes de Java ou du C, vient ainsi de publier un document PDF en anglais intitulé
Essential Skills for Secure Programmers Using Java/ JavaEE (Compétences de base pour les programmeurs sûrs utilisant Java ou J2EE). En le partageant, l'organisme compte en
faire un standard. ' Tester les aptitudes des développeurs en matière de sécurité est une bonne idée. Ce n'est pas la panacée mais cela contribue à réduire les risques. Reste à voir la pertinence et le coût des tests, qui
sont souvent de véritables rentes pour les organismes qui les proposent ', commente Pascal Lointier, président du Clusif (Club de la sécurité de l'information français).Selon le SANS Institute, le secteur le plus demandeur est celui de la finance. Les banques et les assurances doivent en effet gérer au mieux leurs risques en indiquant systématiquement quels moyens elles ont mis en ?"uvre pour les
réduire dans le cadre de leurs nouvelles obligations légales (accord de
Bâle II notamment).Mais les autres secteurs, comme l'industrie (aéronautique, automobile, etc.) et les télécoms, sont aussi à la recherche d'une amélioration des pratiques pour répondre au mieux aux contraintes légales (Loi de sécurité
financière, Directive sur la protection des données, etc.) ou aux standards de qualité industriels (Itil, ISO 7799, etc.).
Votre opinion