Des standards pour évaluer les compétences en sécurité des développeurs

Les développeurs vont devoir réviser. Le SANS (Sysadmin, Audit, Network, Security) Institute, une organisation anglo-saxonne regroupant quelque 165 000 professionnels de la sécurité des systèmes d'information, travaille en effet à la mise au point de tests standards destinés à vérifier les aptitudes des développeurs à programmer des applications sécurisées.L'objectif de l'initiative est de permettre aux entreprises de s'assurer que leurs programmeurs ?" intervenant en interne ou chez un sous-traitant ?" connaissent les techniques de base permettant de sécuriser leurs développements. Le SANS, qui propose déjà des tests pour les développeurs adeptes de Java ou du C, vient ainsi de publier un document PDF en anglais intitulé Essential Skills for Secure Programmers Using Java/ JavaEE (Compétences de base pour les programmeurs sûrs utilisant Java ou J2EE). En le partageant, l'organisme compte en faire un standard.

Six langages dont Java et .Net sont déjà concernés

Plus de 40 entreprises, administrations et sociétés spécialisées dans la sécurité ont participé à l'élaboration de la norme, qui n'est pas encore tout à fait définitive puisque les professionnels ont 60 jours pour faire parvenir leurs éventuelles remarques par Internet.Techniques de validation des données en entrée et de codage en sortie, gestion des systèmes d'authentification et de contrôle d'accès, connaissance des techniques d'attaque, etc., le tout ramené au contexte Java (niveau de sécurité des classes, privilèges associés au code, limites des types numériques Java, etc.) : la liste des compétences requises est exhaustive.Le SANS Institute indique que ce document est le premier d'une longue série. Il travaille déjà à définir de la même manière les compétences requises pour les langages C, C++, les langages .Net (ASP.Net, C#, etc.), PHP et Perl.

Ce type de test devrait permettre de réduire les risques

Tous ces documents de base serviront de programme de référence pour la mise au point de tests payants destinés aux développeurs. Les premiers examens (compter un peu moins de 500 dollars pour une inscription) auront lieu aux Etats-Unis et en Grande-Bretagne, à Londres. En cas de succès, l'initiative pourrait s'étendre à d'autres pays européens.En France, de nombreux tests sont déjà reconnus en matière de sécurité informatique, mais ils s'adressent aux professionnels chargés de la sécurité du système d'exploitation (les RSSI) et non pas aux développeurs. ' Tester les aptitudes des développeurs en matière de sécurité est une bonne idée. Ce n'est pas la panacée mais cela contribue à réduire les risques. Reste à voir la pertinence et le coût des tests, qui sont souvent de véritables rentes pour les organismes qui les proposent ', commente Pascal Lointier, président du Clusif (Club de la sécurité de l'information français).Selon le SANS Institute, le secteur le plus demandeur est celui de la finance. Les banques et les assurances doivent en effet gérer au mieux leurs risques en indiquant systématiquement quels moyens elles ont mis en ?"uvre pour les réduire dans le cadre de leurs nouvelles obligations légales (accord de Bâle II notamment).Mais les autres secteurs, comme l'industrie (aéronautique, automobile, etc.) et les télécoms, sont aussi à la recherche d'une amélioration des pratiques pour répondre au mieux aux contraintes légales (Loi de sécurité financière, Directive sur la protection des données, etc.) ou aux standards de qualité industriels (Itil, ISO 7799, etc.).