Section courante

A propos

Section administrative du site

 Langage  Elément  Bibliothèque  Module  Aide 
ABAP/4
Ada
Assembleur
Assembly & bytecode
ASP (Active Server Pages)
Basic
C
C++
C# (C Sharp)
Cobol
ColdFusion
Fortran
HTML
Java
JavaScript
LISP
Logo
LotusScript
Oberon
Pascal
Perl
PHP
PL/1
Prolog
Python
Rebol
REXX
Ruby
SAS
NoSQL
SQL
Swift
X++ (Axapta)
GNAT
SMALLAda
VHDL
Assembleur 370
Assembleur 1802
Assembleur 4004
Assembleur 6502
Assembleur 6800
Assembleur 68000
Assembleur 8080 et 8085
Assembleur 8089
Assembleur 80x86
Assembleur AGC4
Assembleur ARM
Assembleur DPS 8000
Assembleur i860
Assembleur Itanium
Assembleur MIPS
Assembleur PDP-11
Assembleur PowerPC
Assembleur RISC-V
Assembleur SPARC
Assembleur SuperH
Assembleur UNIVAC I
Assembleur VAX
Assembleur Z80
Assembleur Z8000
Assembleur z/Architecture
ASSEMBLER/MONITOR 64
Micol Assembler
GFA Assembler
A86
MASM (Macro Assembler)
TASM (Turbo Assembler)
CIL
Jasmin
LLVM
MSIL
Parrot
P-Code (PCode)
SWEET16
G-Pascal
ASP 1.0
ASP 2.0
ASP 3.0
ASP.NET
ASP.NET Core
ABasiC (Amiga)
Adam SmartBASIC
Altair BASIC
AmigaBASIC (Amiga)
AMOS Basic (Amiga)
Atari Basic (Atari 400, 600 XL, 800, 800XL)
Basic Apple II (Integer BASIC/APPLESOFT)
Basic Commodore 64 (CBM-BASIC)
Basic Commodore 128 (BASIC 7.0)
Basic Commodore VIC-20 (CBM-BASIC 2.0)
Basic Coco 1 (Color Basic)
Basic Coco 2 (Extended Color Basic)
Basic Coco 3 (Extended Color Basic 2.0)
BASICA (PC DOS)
Basic Pro
BBC BASIC
Blitz BASIC (Amiga)
DarkBASIC
Dartmouth BASIC
GFA-Basic (Atari ST/Amiga)
GWBASIC (MS-DOS)
Liberty BASIC
Locomotive BASIC (Amstrad CPC)
MSX-Basic
Omikron Basic (Atari ST)
Oric Extended Basic
Power Basic
Quick Basic/QBasic (MS-DOS)
Sinclair BASIC (ZX80, ZX81, ZX Spectrum)
ST BASIC (Atari ST)
Turbo Basic
Vintage BASIC
VBScript
Visual Basic (VB)
Visual Basic .NET (VB .NET)
Visual Basic pour DOS
Yabasic
BeckerBASIC
SIMONS' BASIC
Basic09 d'OS-9
Disk Extended Color Basic
Basic09 d'OS-9
Disk Extended Color Basic
Access
Excel
Visual Basic pour Windows
Visual Basic .NET pour Windows
C Shell Unix (csh)
C pour Amiga
C pour Atari ST
C pour DOS
C pour Falcon030
C pour GEMDOS (Atari ST)
C pour Linux
C pour PowerTV OS
C pour OS/2
C pour Unix
C pour Windows
Aztec C
CoCo-C
GNU C
HiSoft C
IBM C/2
Introl-C
Lattice C
Microsoft C
MinGW C
MSX-C
Open Watcom C
OS-9 C Compiler
Pure C
Quick C
Turbo C
HiSoft C for Atari ST
HiSoft C for CP/M (Amstrad CPC)
C++ pour OS/2
C++ pour Windows
Borland C++
C++Builder
IBM VisualAge C++
Intel C++
MinGW C++
Open Watcom C++
Symantec C++
Turbo C++
Visual C++
Visual C++ .NET
Watcom C++
Zortech C++
C# (C Sharp) pour Windows
Apple III Cobol
Microsoft Cobol
BlueDragon
Lucee
OpenBD
Railo
Smith Project
Microsoft Fortran
WATFOR-77
CSS
FBML
Open Graph
SVG
XML
XSL/XSLT
LESS
SASS
GCJ (GNU)
JSP
Jython
Visual J++
Node.js
TypeScript
AutoLISP
ACSLogo
LotusScript pour Windows
Amiga Oberon
Oberon .NET
Apple Pascal
Delphi/Kylix/Lazarus
Free Pascal
GNU Pascal
HighSpeed Pascal
IBM Personal Computer Pascal
Lisa Pascal
Maxon Pascal
MPW Pascal
OS-9 Pascal
OSS Personal Pascal
Pascal-86
Pascal du Cray Research
Pascal/VS
Pascal-XT
PURE Pascal
QuickPascal
RemObjets Chrome
Sun Pascal
THINK Pascal
Tiny Pascal (TRS-80)
Turbo Pascal
UCSD Pascal
VAX Pascal
Virtual Pascal
Turbo Pascal for CP/M-80
Turbo Pascal for DOS
Turbo Pascal for Macintosh
Turbo Pascal for Windows
CodeIgniter (Cadre d'application)
Drupal (Projet)
Joomla! (Projet)
Phalanger (PHP .NET)
phpBB (Projet)
Smarty (balise)
Twig (balise)
Symfony (Cadre d'application)
WordPress (Projet)
Zend (Cadre d'application)
PL360
PL/M-80
PL/M-86
Turbo Prolog
CPython
IronPython
Jython
PyPy
AREXX
Regina REXX
JMP
Btrieve
Cassandra
Clipper
CouchDB
dBASE
Hbase
Hypertable
MongoDB
Redis
Access
BigQuery
DB2
H2
Interbase
MySQL
Oracle
PostgreSQL
SAP HANA
SQL Server
Sybase
U-SQL
Introduction
Normes de sécurité
OWASP
Authentification
Vulnérabilités applicatives
CIS (Center for Internet Security) Controls
CSA (Cloud Security Alliance) - Cloud Controls Matrix (CCM)
ISO/IEC 27001
NIST (National Institute of Standards and Technology) Cybersecurity Framework
OWASP
PCI DSS
SANS/CWE (Common Weakness Enumeration)
L'authentification multifacteur (Mémoriser mon ordinateur)
Cookie de session compromis
Buffer overflow (Dépassement de tampon)
Injection SQL
CryptoAuthLib
CryptoLib4Pascal
Delphi-OpenSSL
HashLib4Pascal
OpenSSL
hashlib
Préface
Notes légal
Dictionnaire
Recherche

NIST Cybersecurity Framework

Le NIST Cybersecurity Framework (CSF), développé par le National Institute of Standards and Technology (NIST), est un ensemble de meilleures pratiques, normes et lignes directrices pour aider les organisations à mieux gérer et réduire les risques en matière de cybersécurité. Bien qu'il ne soit pas spécifiquement dédié au développement logiciel, le NIST CSF est largement appliqué dans la gestion de la sécurité des systèmes, des réseaux et des applications, y compris durant le processus de développement.

Voici un aperçu de son rôle dans la sécurité de développement :

Structure du NIST Cybersecurity Framework

Le cadre est divisé en cinq fonctions principales, chacune ayant des sous-catégories et des actions spécifiques. Ces fonctions sont conçues pour être utilisées ensemble et permettent d'évaluer, de gérer et de répondre aux risques liés à la cybersécurité dans toute organisation, y compris pendant le développement logiciel :

Fonction Description
Identify (Identifier) Identifier les ressources et les risques associés à la sécurité.
Protect (Protéger) Mettre en place des mesures de protection pour sécuriser les systèmes et les données.
Detect (Détecter) Détecter les incidents de sécurité en temps réel.
Respond (Répondre) Réagir aux incidents et restaurer les opérations après une violation.
Recover (Récupérer) Réparer les dégâts et améliorer la cybersécurité après un incident.

Sécurisation du processus de développement

Dans le contexte du développement logiciel, le NIST Cybersecurity Framework aide à intégrer des pratiques de sécurité dès le début du cycle de développement. Par exemple, dans la phase de Protéger, il est recommandé d'adopter des pratiques de codage sécurisé, de validation des entrées et de gestion des vulnérabilités. Cela peut inclure des actions comme :

Gestion des risques liés aux logiciels

Le NIST CSF encourage les organisations à identifier les risques spécifiques aux logiciels et à les intégrer dans leur stratégie globale de cybersécurité. Cela inclut l'évaluation des vulnérabilités dans les applications développées, le suivi des mises à jour de sécurité et la gestion des bibliothèques de code tiers utilisées dans les projets.

Réduction des risques dans les environnements de développement

L'une des priorités du NIST CSF est de protéger les environnements de développement contre les menaces. Par exemple, la fonction Protect implique de sécuriser les outils de développement, les serveurs de version, les environnements de test et de production pour éviter l'introduction de vulnérabilités au cours du développement.

Réponse aux incidents de sécurité dans le développement

En cas d'incident de sécurité lié au développement logiciel, le NIST CSF préconise des actions immédiates pour limiter les impacts. Cela inclut la mise en oeuvre d'une stratégie de réponse aux incidents comprenant la détection des anomalies dans le code ou dans les environnements de déploiement, ainsi que l'identification de la source de la vulnérabilité.

Audit et surveillance du code et des systèmes

Le NIST recommande également la mise en place de mécanismes de surveillance pour détecter les activités suspectes dans le code ou les serveurs utilisés pour le développement. Cela peut inclure l'utilisation de systèmes d'analyse de sécurité pour identifier les vulnérabilités en temps réel et effectuer des audits réguliers du code source et des environnements de développement.

Assurance de la résilience du développement

La fonction Recover du NIST CSF insiste sur la mise en place de plans de récupération pour restaurer les opérations après un incident de sécurité. Dans le contexte du développement logiciel, cela signifie avoir des processus en place pour corriger rapidement les erreurs de sécurité dans le code, restaurer les versions précédentes sécurisées et mettre à jour les pratiques de développement pour éviter de futures vulnérabilités.

Conformité avec les normes et régulations

Le NIST Cybersecurity Framework aide également à garantir que les pratiques de développement respectent les exigences légales et les normes industrielles en matière de sécurité. En suivant ce cadre, les organisations peuvent mieux répondre aux exigences des régulations sur la protection des données (par exemple, RGPD, HIPAA) et s'assurer que le logiciel développé respecte les meilleures pratiques en matière de cybersécurité.



PARTAGER CETTE PAGE SUR
Dernière mise à jour : Vendredi, le 15 novembre 2024