La sécurité des applications en technologie de l'information : une approche d'intégration des éléments de sécurité dans le cycle de vie des applications et des systèmes d'information

L'industrie des technologies de l’information (TI) et les organisations qui les utilisent ont à leur disposition beaucoup de moyens pour développer, acquérir et maintenir des applications sécuritaires. Toutefois, bien qu’il existe pour ce faire une panoplie de bonnes pratiques, de normes et d’outils, les organisations peinent à atteindre ce but. Seize problématiques permettant d’expliquer cette situation ont été identifiées au cours de cette recherche dont le but est de concevoir, de faire approuver par une organisation internationale de normalisation, et de rendre accessible à ceux qui développent ou qui utilisent des applications, un nouveau modèle de sécurité des applications (modèle SA). L’utilisation de ce modèle permet la mise en place et la démonstration de la sécurité d’une application, assurant ainsi la protection des informations sensibles impliquées par son utilisation. Le modèle SA propose des concepts, des principes, des processus et des composants pour permettre à une organisation de se doter d’un cadre normatif répondant à ses besoins de sécurité, tout en respectant ses capacités. Ce modèle SA permet de prendre en compte les contextes d’affaires, juridiques et technologiques spécifiques aux environnements où les applications sont développées et utilisées. Il permet aussi de gérer les risques de sécurité provenant des personnes, des processus et de la technologie qui pourraient menacer les informations sensibles impliquées par ces applications. Ce modèle SA permet d’identifier et de mettre en place un ensemble de contrôles et de mesures de sécurité afin d’assurer un niveau de confiance de la sécurité d’une application durant son cycle de vie. Finalement, le modèle SA permet à l’organisation qui l’utilise de fournir les preuves mesurables et répétables indiquant l’atteinte et le maintien du niveau de confiance ciblé, en fonction du contexte d’utilisation spécifique de ses applications. Le modèle SA inclut les différents éléments d’une architecture de sécurité des applications pouvant être utilisés par les organisations et l’industrie des TI. Ces éléments sont définis, validés, testés et intégrés dans un cadre normatif qui sera utilisé comme une source autoritaire guidant la mise en oeuvre de la sécurité pour les applications d’une organisation