Modèle de Maturité de la Sécurité de l'Infrastructure (BSIMM)
Le Modèle de Maturité de la Sécurité de l'Infrastructure (BSIMM) est un modèle basé sur des données qui offre une vue approfondie des initiatives de sécurité des logiciels. BSIMM n'est ni une norme ni une liste de contrôle, mais plutôt une réflexion des pratiques actuelles observées dans les programmes de sécurité des logiciels réels. En évaluant les initiatives de sécurité des logiciels de plusieurs organisations, BSIMM offre un point de comparaison pour guider et comparer les pratiques de sécurité des logiciels.
Demander une démonstration des cadres personnalisés de SecureframeDéfinition et objectif
BSIMM décrit les activités courantes observées dans diverses initiatives de sécurité des logiciels. En présentant un ensemble de bonnes pratiques, il aide les organisations à mesurer la maturité de leur programme de sécurité des logiciels et les guide dans l'amélioration de leur posture de sécurité des logiciels. Son objectif est de fournir aux organisations des données tangibles pour comparer leurs efforts de sécurité avec ceux d'autres organisations, facilitant ainsi l'amélioration continue de la sécurité des logiciels.
Organisme de gouvernance
BSIMM a été initié en tant qu'effort conjoint par Cigital (qui fait maintenant partie de Synopsys) et Fortify Software (qui fait maintenant partie de Micro Focus). Aujourd'hui, il est supervisé par Synopsys.
Dernière mise à jour
BSIMM a été publié en septembre 2022 et n'a pas eu de mises à jour majeures.
S'applique à
BSIMM est agnostique du secteur et peut être appliqué à toute organisation axée sur la sécurité des logiciels. Au fil du temps, BSIMM a accumulé des données provenant de diverses industries, y compris les services financiers, les soins de santé, la technologie, et plus encore, rendant ses observations et ses conclusions pertinentes dans plusieurs secteurs.
Contrôles et exigences
BSIMM est structuré autour de 12 pratiques couvrant le domaine de la sécurité des logiciels. Ces pratiques se composent à leur tour de multiples activités. Les 12 pratiques sont :
- Stratégie et Mesures
- Conformité et Politique
- Analyse de l'Architecture
- Révision du Code
- Test de Sécurité
- Test de Pénétration
- Environnement Logiciel
- Formation
- Culture et Organisation
- Réponse et Gestion des Incidents
- Intelligence et Recherche
- Opérations
Chaque pratique est divisée en une série d'activités, ce qui représente un total de plus de 100 activités distinctes que les organisations peuvent utiliser pour mesurer leurs initiatives de sécurité des logiciels.
Veuillez vous référer au document officiel BSIMM pour une liste détaillée des contrôles et exigences.
Type d'audit, fréquence et durée
BSIMM n'est pas un cadre d'audit au sens traditionnel du terme mais plutôt un modèle de maturité. Les organisations s'engagent généralement avec des évaluateurs BSIMM de Synopsys pour effectuer une évaluation. Cette évaluation compare les pratiques actuelles de l'organisation aux données BSIMM.
La fréquence de ces évaluations est à la discrétion de l'organisation, mais il pourrait être bénéfique de les réaliser annuellement ou tous les deux ans afin de mesurer les progrès et de s'adapter aux évolutions du paysage de la sécurité des logiciels.
La durée de l'évaluation peut varier mais dure généralement de quelques jours à quelques semaines, selon la taille et la complexité de l'organisation.