IriusRisk lance la norme Open Threat Model pour sécuriser le cycle de vie du développement logiciel
IriusRisk a lancé une nouvelle norme Open Threat Model (OTM) pour permettre une plus grande connectivité et interopérabilité entre la modélisation des menaces et d’autres parties du cycle de vie du développement logiciel (SDLC). La norme OTM a été publiée sous une licence Creative Commons et fournit un moyen indépendant de l’outil de décrire un modèle de menace dans un format simple à utiliser et à comprendre, a déclaré IriusRisk.
La norme peut tirer parti d’un large éventail de formats sources et prend en charge de nouvelles sources de conception d’applications et de systèmes, tout en permettant également aux utilisateurs d’échanger des données de modèle de menace au sein du SDLC et de l’écosystème de cybersécurité. Une API d’accompagnement permet aux utilisateurs de fournir un fichier OTM qu’IriusRisk utilise pour créer un modèle de menace complet à l’aide du moteur de règles, qui contient une vaste bibliothèque de composants et de modèles de risque.
Standard conçu pour sécuriser les SDLC, simplifier la modélisation des menaces
La norme OTM fait partie de la version 4.1 du produit IriusRisk et est conçue pour les architectes logiciels, le personnel DevOps et DevSecOps qui travaillent à une conception sécurisée et souhaitent contribuer à l’adoption de la modélisation des menaces en tant que norme de l’industrie, a expliqué IriusRisk dans une publication sur son site Internet. Il présente des modèles de menace dans un format commun permettant aux utilisateurs d’utiliser des données via des intégrations et fonctionne avec différents formats source, y compris Amazon Web Services Cloudformation.
Les utilisateurs peuvent également écrire et partager des analyseurs pour des artefacts tels que des fichiers CloudFormation, Visio ou Docker Compose. De plus, OTM facilite les échanges entre les organisations, a ajouté IriusRisk. Comme il a été lancé sous Creative Commons, le standard peut être utilisé dans des projets open source ou même par des fournisseurs commerciaux pour partager des modèles de menace de leurs systèmes, afin que ceux-ci soient à leur tour utilisés par les organisations adoptant ces systèmes.
Commentant dans un communiqué de presse, Stephen De Vries, PDG et fondateur d’IriusRisk, a déclaré : Avec le lancement de notre norme Open Threat Model, nous construisons un outil qui transformera le processus de modélisation des menaces. Avec la communauté élargie de la sécurité et des développeurs contribuant à la norme, nous sommes ravis de voir l’impact combiné que nous pouvons avoir sur la conception sécurisée en faisant de la modélisation des menaces une pratique de plus en plus simple et largement adoptée.
La norme OTM pourrait remédier à l’incohérence de la sécurité du développement logiciel
La norme arrive à un moment où les implications de sécurité entourant les SDLC ont un impact significatif sur les organisations. L’année dernière, un rapport d’Osterman Research a souligné une incohérence considérable entre les équipes de développement de logiciels et les fonctions de cybersécurité, aggravant les risques de la chaîne d’approvisionnement en logiciels auxquels sont confrontées les entreprises. Il a révélé que 45 % des équipes de développement estimaient que leur compréhension des dernières attaques d’applications faisait défaut, la grande majorité admettant avoir sciemment mis en ligne du code vulnérable.
De plus, seulement 27 % des professionnels du développement de première ligne considéraient la sécurité des applications comme leur responsabilité, tandis que seulement la moitié des RSSI étaient convaincus que des applications sécurisées pouvaient être développées et 45 % des travailleurs de la sécurité estimaient que les développeurs ne comprenaient pas les dernières menaces à la sécurité des applications.
S’adressant à CSO, le consultant en cybersécurité Harman Singh a déclaré que la norme OTM est importante pour les entreprises car elle fournit un cadre de modélisation des menaces qui peut être utilisé par des équipes et des organisations de toutes tailles à différentes étapes du SDLC. La norme OTM a été conçue pour être facile à utiliser et à comprendre afin que les entreprises puissent évaluer rapidement et efficacement les risques pour leurs systèmes. La norme OTM est également flexible, de sorte que les entreprises peuvent l’adapter pour répondre à leurs besoins spécifiques, ajoute-t-il.
Les avantages de l’utilisation de la norme incluent la capacité d’évaluer rapidement et efficacement les risques pour les systèmes, la flexibilité de l’adapter pour répondre à des besoins spécifiques et la capacité de hiérarchiser les risques et de concevoir des contrôles pertinents, déclare Singh.
Copyright © 2022 IDG Communications, Inc.