ISO27034-1:2011 Kesako ?

Gouvernance Risques et Conformité
ISO27034-1:2011 Kesako ?

On me pose souvent la question de savoir s'il existe des normes autour de la sécurité applicative. Ma réponse est souvent une réponse de Normand (notez que je n'ai rien contre les normands, mais c'est l'expression consacrée), à savoir Oui, et Non :

Non, car c'est un peu nouveau pour l'ISO, et donc la/les norme(s) n'est/ne sont pas encore très aboutie(s)/finalisée(s).

Oui, car l'ISO (JTC1/WG27) travaille sur cette suite de normes : ISO-27034 (voir le catalogue). La suite de normes ISO-27034 est un peu à mettre en parallèle avec les normes ISO-27001/27002, en ce sens qu'il existe une norme présentant globalement un ASMP (Système de Management de la Sécurité Applicative) et des normes périphériques pour préciser des tas de choses.

C'est en fait une norme en 6 parties, nous trouvons donc :

  • ISO-27034-1 : Survol et concepts - Stable, sortie en 2001
  • ISO-27034-2 : Cadre normatif de l'organisation - Que faut-il utiliser - Statut : Draft
  • ISO-27034-3 : Processus de gestion de la sécurité d'une application - Comment intégrer dans le processus - Statut : Pre-Draft
  • ISO-27034-4 : Validation de la sécurité d'une application (organisation, application, humaine) - Statut : Pre-Draft
  • ISO-27034-5 : Protocoles et structures de données  des contrôles de sécurité applicative - Statut : Draft
  • ISO-27034-6 : Pratique de sécurité pour des cas spécifiques d'applications (exemples, case study) - Statut : Draft

Du aux règles de l'ISO, il est difficile de spécifier ce qu'il y a sur les Pre-Drafts/Drafts. Néanmoins, nous pourrons évoquer le ISO27034-5, en effet il y a un projet OWASP, et surtout parler de la ISO27034-1:2011.

ISO27034-1:2011

La norme fait environ 70 pages et poursuit 4 objectifs :

  • Proposer un modèle pour faciliter l'intégration de la sécurité dans le cycle de vie des applications
  • S'appliquer au développement interne ou à  l'acquisition de logiciels
  • Proposer une approche qui respecte et s'adapte aux processus et méthodes de l'organisation
  • Ne pas proposer de contrôles ou de règles de développement

La norme n'est pas/ne fournit pas :

  • Un standard de développement applicatif
  • Un standard de gestion de projet
  • Un cycle de développement logiciel
  • Des spécifications pour du secure coding (il y en a sur ce sujet)

La norme permet d'aider à l'implémentation du point de vue applicatif :

  • Les recommandations de la norme ISO27001
  • Le processus de gestion de risque de la norme ISO27005

La norme comprend 3 parties principales et 3 annexes informatives :

  • Introduction à la sécurité applicative : présentation globale de ce qu'est la sécurité applicative pour l'ISO (5 pages)
  • Présentation du processus global de l'ISO27034 (4 pages)
  • Concepts ISO27034 (20 pages) : différents éléments sont présentés, des frameworks généraux, en passant par l'évaluation du risque applicatif pour finir sur la partie de l'audit de la sécurité de l'application
  • Annexe A (14 pages) : Transposition entre un processus de développement (Microsoft SDL) et la norme ISO27034
  • Annexe B (7 pages) : Transposition entre un guide de contrôles de sécurité (NIST SP800-53) et les ASCs décrits dans ISO27034
  • Annexe C (2 pages) : Transposition du processus de gestion de risque ISO27005 avec les processus ISO27034/ASMP

Dans une suite d'autres billets nous détaillerons un peu plus les concepts d'ISO27034-1.

ISO27034-5

Cette norme a comme but de fournir des contrôles de sécurité applicatifs (ASC). Ces contrôles seront fournis sur la forme de schémas XML. Il existe autour de cette norme un projet  OWASP dont le but est de fournir les ASC vis-à-vis du Top10.

Vous trouverez plus d'informations sur le sujet ici :

https://www.owasp.org/index.php/OWASP_ISO_IEC_27034_Application_Security_Controls_Project#tab=Main

Sébastien Gioria, Consultant Sénior en Sécurité des Systèmes d'Informations, Advens