La norme ISO 27034 : comment sécuriser les applications ?
ISO/IEC 27034 est une norme créée par l’Organisation Internationale de Normalisation (ISO) afin de fournir une méthodologie efficace et sûre pour maintenir la qualité des systèmes d’information. Elle définit un ensemble de règles sur l'usage de bonnes pratiques à tous les niveaux de son cycle de vie dans le but de sécuriser les applications. Elle concerne tout le système, du niveau du développement technique jusqu’au niveau organisationnel.
Quel est l’intérêt d’ISO/IEC 27034 ?
La norme ISO 27034 souligne d’abord l’intérêt pour les entreprises de tester chaque nouvelle fonctionnalité au stade du développement. Ainsi, elle recommande de décrire un test avant même de développer la fonction qu’on souhaite ajouter. Cela permet d’assurer la qualité du code en évitant les bugs, les défaillances, les logiciels qui ne sont pas bien calibrés par rapport aux besoins, etc. Elle suggère la mise en œuvre d'un ensemble de procédures pour sécuriser le système applicatif quel que soit son périmètre (d’un système autonome limité à un poste informatique à un système des systèmes comme une ville intelligente). Elle fournit également une approche managériale de la gestion des risques. Enfin, elle propose un outil permettant d'analyser la robustesse d’un système applicatif de façon rationnelle.
ISO/EIC 27034 : Un guide des bonnes pratiques au niveau organisationnel
Il ne faut pas confondre la portée d’une application et la portée de la sécurité d’une application. Par exemple, si un logiciel s’exécute sur le poste d’un employé sans être connecté au réseau, le périmètre de l’application se résumera à l’ordinateur et celui de la sécurité de l’application sera l’utilisateur et son poste de travail, éventuellement reliés à des périphériques. Ces deux notions sont donc différentes dès l’échelle la plus basique des systèmes. La norme ISO/EIC 27034 définit des processus de management des risques spécifiquement pour chaque application de l’entreprise. Ainsi, elle édicte des principes selon lesquels les systèmes applicatifs et organisationnels doivent être créés pour tenir compte des risques dans leurs périmètres.
ISO 27034 : le Cycle de vie de la Sécurité d’une Application (CSA) comme outil fondamental
La norme recommande d’utiliser le CSA, outil conçu pour vérifier les bonnes pratiques en lien avec les applications au sein de leurs systèmes organisationnels et pour définir les besoins de l’entreprise. Ce diagramme fournit les exigences, les descriptions et la représentation graphique du modèle de données utilisées par le système. Concrètement, il est implémenté en XML selon les règles définies dans la norme ISO/TS 15000. Grâce à lui, il devient possible d’analyser les risques qui menacent le système, qu’ils soient d’origine humaine, organisationnelle ou technologique. Le CSA permet ainsi de prévenir d’importantes dépenses en cas de défaillance du système. Il est capital pour la normalisation de la sécurité applicative de l’entreprise : c’est l’examen de ce document qui permet la validation de la certification ISO/EIC 27034.