Sommaire

Process model vs maturity model

Déjà abordés avec le cycle de développement sécurisé (S-SDLC) dans le chapitre précédent, les Process models sont un bon point de départ pour intégrer de la sécurité dans un cycle de développement. Microsoft SDL (Security Development Lifecycle) préconise par exemple seize actions à incorporer pour assurer la sécurité. Ceci étant dit, la sécurité de l’information autour d’une application ne s’arrête pas à seize fonctions. Afin d’ajouter de la granularité dans un S-SDLC, les modèles de maturité sont un bon complément. En effet, comme le nom l’indique, les maturity models permettent de connaître le degré de maturité d’un S-SDLC en comparant les actions établies à celles d’autres sociétés contributrices au modèle. Une autre méthode consiste à analyser les actions effectuées dans un S-SDLC par rapport aux préconisations apportées par le maturity model.

De plus, certains maturity models proposent des explications sur la façon de mener les actions et atteindre son objectif, ce que ne permet pas un process model par exemple. L’autre intérêt est qu’il est possible de se concentrer sur une ou plusieurs parties de la sécurité d’un cycle de développement afin de segmenter les ...