Définition et objectif

BSIMM décrit les activités courantes observées dans diverses initiatives de sécurité des logiciels. En présentant un ensemble de bonnes pratiques, il aide les organisations à mesurer la maturité de leur programme de sécurité des logiciels et les guide dans l'amélioration de leur posture de sécurité des logiciels. Son objectif est de fournir aux organisations des données tangibles pour comparer leurs efforts de sécurité avec ceux d'autres organisations, facilitant ainsi l'amélioration continue de la sécurité des logiciels.

Organisme de gouvernance

BSIMM a été initié en tant qu'effort conjoint par Cigital (qui fait maintenant partie de Synopsys) et Fortify Software (qui fait maintenant partie de Micro Focus). Aujourd'hui, il est supervisé par Synopsys.

Dernière mise à jour

BSIMM a été publié en septembre 2022 et n'a pas eu de mises à jour majeures.

S'applique à

BSIMM est agnostique du secteur et peut être appliqué à toute organisation axée sur la sécurité des logiciels. Au fil du temps, BSIMM a accumulé des données provenant de diverses industries, y compris les services financiers, les soins de santé, la technologie, et plus encore, rendant ses observations et ses conclusions pertinentes dans plusieurs secteurs.

Contrôles et exigences

BSIMM est structuré autour de 12 pratiques couvrant le domaine de la sécurité des logiciels. Ces pratiques se composent à leur tour de multiples activités. Les 12 pratiques sont :

1. Stratégie et Mesures
2. Conformité et Politique
3. Analyse de l'Architecture
4. Révision du Code
5. Test de Sécurité
6. Test de Pénétration
7. Environnement Logiciel
8. Formation
9. Culture et Organisation
10. Réponse et Gestion des Incidents
11. Intelligence et Recherche
12. Opérations

Chaque pratique est divisée en une série d'activités, ce qui représente un total de plus de 100 activités distinctes que les organisations peuvent utiliser pour mesurer leurs initiatives de sécurité des logiciels.

Veuillez vous référer au document officiel BSIMM pour une liste détaillée des contrôles et exigences.

Type d'audit, fréquence et durée

BSIMM n'est pas un cadre d'audit au sens traditionnel du terme mais plutôt un modèle de maturité. Les organisations s'engagent généralement avec des évaluateurs BSIMM de Synopsys pour effectuer une évaluation. Cette évaluation compare les pratiques actuelles de l'organisation aux données BSIMM.

La fréquence de ces évaluations est à la discrétion de l'organisation, mais il pourrait être bénéfique de les réaliser annuellement ou tous les deux ans afin de mesurer les progrès et de s'adapter aux évolutions du paysage de la sécurité des logiciels.

La durée de l'évaluation peut varier mais dure généralement de quelques jours à quelques semaines, selon la taille et la complexité de l'organisation.