Le concept Brainloop : la sécurité à toutes les étapes du développement

Sicherheit-im-Fokus_Brainloop-Security-Konzept_750x250

La sécurité reste une priorité absolue que vous souhaitiez protéger les informations commerciales quotidiennes, les processus de communication critiques de votre direction et votre conseil d'administration, ou des activités de fusions-acquisition strictement confidentielles. Une condition indispensable au regard des cyber-attaques et autres menaces de sécurité auxquelles sont exposées de nombreuses entreprises.

Afin d'éviter d'éventuelles failles de sécurité lors des développements logiciels, Brainloop utilise un concept de développement de logiciels sécurisés appelé « Cycle de développement d'une sécurité informatique fiable » (ou SDL) et initialement conçu par Microsoft. Il est étroitement intégré au processus de développement Scrum. Les étapes suivantes garantissent aux clients Brainloop sa bonne mise en œuvre.

Phase 1 : Exigences et conception

La première phase consiste à définir les exigences et les objectifs de sécurité et de qualité du logiciel proposé. Chez Brainloop, nous facilitons cette tâche en déterminant pour chaque équipe un expert en sécurité. Ces spécialistes, reconnus comme des champions de la sécurité dans l'environnement SDL, assistent leurs équipes pendant le processus de planification. Ils vérifient les plans de développement, conseillent les équipes sur les jalons de sécurité, formulent des recommandations et veillent à ce que l’équipe de sécurité dispose de suffisamment de ressources pour respecter les délais impartis à l’équipe de développement. Si nécessaire, le champion de la sécurité et son équipe analysent ensemble la conception et testent des menaces types pour certaines fonctionnalités. Ils coordonnent également des tests de sécurité spécifiques, le cas échéant.

Phase 2 : mise en œuvre

Au cours de la phase de mise en œuvre, l’équipe de développement - composée principalement de spécialistes Brainloop très expérimentés - programme, teste et intègre le logiciel. Avant de mettre en œuvre un élément de travail, celui-ci est à nouveau testé minutieusement du point de vue de la sécurité. L'objectif est de prévenir les failles de sécurité et de corriger celles qui pourraient survenir. Cette action minimise le risque de retrouver ces failles dans la version finale du logiciel. Brainloop applique toujours un principe de double contrôle qui garantit que chaque nouvelle ligne de code est vérifiée par un deuxième développeur avant son intégration. Le code critique de sécurité est vérifié à nouveau par le champion de la sécurité ou par l'équipe de sécurité.

Phase 3 : vérification

À ce stade du développement, l’ensemble des fonctionnalités ont été intégrées au logiciel. Pendant le processus de test bêta, l'équipe d'assurance qualité teste à nouveau toutes les fonctionnalités et exécute des tests de sécurité supplémentaires. Avant sa publication, le code du logiciel est également vérifié à l'aide d'outils d'analyse tels que Veracode, qui signalent également les défauts. La solution WhiteSource analyse également les bibliothèques tierces. Si des modifications sont apportées aux zones du logiciel relatives à la sécurité, l'équipe de sécurité ou l'expert en sécurité effectue un audit interne. Un test d'intrusion externe peut également être demandé.

Toujours plus de mesures au service de la sécurité

Outre l’ensemble des mesures prises au cours des phases de développement logiciel décrites, le concept de sécurité de Brainloop en inclut d’autres. Un test de pénétration externe est notamment effectué une fois par an pour chaque application. Cela implique la participation à cette étape d’un « pirate informatique » pour tester toutes les applications et tous les composants logiciels, ainsi que pour vérifier leur résistance aux types d'attaques courantes. Cette vision externe est indispensable pour Brainloop. Un autre point intéressant réside dans les tests et audits que nos clients, en tant que grandes entreprises, effectuent eux-mêmes sur les applications afin d’obtenir un point de vue indépendant.

L’exigence en matière de protection chez Brainloop ne s’arrête pas là. Chaque employé se doit d’informer les équipes de développement d’une potentielle faille de sécurité et reçoit en contrepartie une récompense. Des formations internes et externes sont également dispensées régulièrement pour garantir que les développeurs et spécialistes de la sécurité soient toujours au point sur le plan technique. De cette façon, les risques de sécurité n’ont aucune chance.

 

Ceci pourrait également vous intéresser :

Instaurer des catégories de sécurité. A tout niveau

Avec une quantité de documents toujours plus importante, comment les entreprises font-elles aujourd’hui pour savoir ce qui est considéré comme confidentiel ou ce qui ne l’est pas ?

Le stockage Cloud local pour les données critiques de l'entreprise

Avec de multiples offres Cloud, les entreprises doivent choisir une solution adaptée pour ne pas mettre en danger leurs données et rester conformes au RGPD.