-
Notifications
You must be signed in to change notification settings - Fork 13
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
1 parent
461d12d
commit 0b7f96c
Showing
2 changed files
with
2 additions
and
2 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
|
|
@@ -8,7 +8,7 @@ | |
| <button class=tablinks onclick="openMaturityLevel(event,'2')" id=maturity2 maturity-url-alias=/fr/model/g-sm-a-2> | ||
| Maturity level 2</button> | ||
| <button class=tablinks onclick="openMaturityLevel(event,'3')" id=maturity3 maturity-url-alias=/fr/model/g-sm-a-3> | ||
| Maturity level 3</button></div><div id=1 class=tabcontent><h2></h2><h3>Benefit</h3><p>Compréhension partagée de la posture de sécurité de votre organisation</p><h3>Activity</h3><p><p>Comprenez, en fonction de l’exposition au risque de l’application, quelles menaces existent ou peuvent exister, et à quel point la direction est tolérante face à ces risques. Cette compréhension est un élément clé pour déterminer les priorités en matière d’assurance sécurité des logiciels. Pour valider ces menaces, interviewez les dirigeants d’entreprise et les autres parties prenantes documentez les motivations propres à l’industrie dans laquelle l’organisme opère ainsi que les motivations propres à l’organisation. Les informations collectées incluent les scénarios les plus pessimistes qui pourraient avoir un impact sur l’organisation, de même que les occasions où un cycle de vie optimisé du développement de logiciels et des applications plus sécurisées pourraient fournir un différentiateur de marché ou créer des opportunités supplémentaires.</p><p>Les informations collectées fournissent une base de référence permettant à l’organisation de développer et de promouvoir son programme de sécurité applicative. Les éléments du programme sont rangés par ordre de priorité pour traiter d’abord les menaces et les opportunités les plus importantes pour l’organisation. La base de référence est divisée en plusieurs facteurs de risque et de motivation liés directement aux priorités de l’organisation et utilisés pour aider à établir un profil de risque pour chaque application développée sur mesure en documentant comment elle peut avoir un impact sur l’organisation si elle est compromise.</p><p>La base de référence et les facteurs de risque individuels devraient être publiés et mis à la disposition des équipes de développement d’applications afin d’assurer un processus plus transparent de création de profils de risque d’application et d’intégrer les priorités de l’organisation dans le programme. De plus, ces buts devraient fournir un ensemble d’objectifs qui devraient être utilisés pour garantir que toutes les améliorations au programme de sécurité des applications fournissent un soutien direct aux besoins actuels et futurs de l’organisation.</p></p><h3>Question</h3><p>Avez-vous une bonne compréhension de l'appétit de risque pour vos applications à travers l'entreprise?</p><h3>Quality criteria</h3><table class=table><tbody><tr><td>Vous capturez l'appétit envers le risque des dirigeants de votre organisation</td></tr><tr><td>Les dirigeants de l'organisation valident et approuvent l'ensemble des risques</td></tr><tr><td>Vous identifiez les principales menaces métier et techniques pour vos actifs et vos données</td></tr><tr><td>Vous documentez les risques et les stockez dans un endroit accessible</td></tr></tbody></table><h3>Answers</h3><table class=table><tbody><tr><td>Non</td></tr><tr><td>Oui, il couvre les risques courants</td></tr><tr><td>Oui, il couvre les risques propres à l'organisation</td></tr><tr><td>Oui, il couvre les risques et les opportunités</td></tr></tbody></table></div><div id=2 class=tabcontent><h2></h2><h3>Benefit</h3><p>Feuille de route disponible et validée de votre programme AppSec</p><h3>Activity</h3><p><p>En fonction de l’ampleur des actifs, des menaces et de la tolérance aux risques, développez un plan stratégique et un budget pour traiter les priorités commerciales en matière de sécurité applicative. Le plan couvre 1 à 3 années et comprend des jalons conformes aux missions et aux risques de l’entreprise. Il fournit des initiatives tactiques et stratégiques et suit une feuille de route qui rend visible son alignement sur les priorités et les besoins de l’entreprise.</p><p>Dans la feuille de route, vous équilibrez les changements nécessitant des dépenses financières avec les changements de processus et de procédures et les changements affectant la culture de l’organisation. Cet équilibre permet de réaliser de multiples étapes simultanément sans surcharger ou épuiser les ressources disponibles ou les équipes de développement. Les jalons sont suffisamment fréquents pour aider à surveiller la réussite du programme et à déclencher les ajustements opportuns de la feuille de route.</p><p>Pour que le programme soit couronné de succès, l’équipe de sécurité applicative obtient le soutien des parties prenantes au sein de l’organisation et celui des équipes de développement d’applications. Un plan publié est à la disposition de toute personne qui est tenue de le soutenir ou de participer à sa mise en œuvre.</p></p><h3>Question</h3><p>Avez-vous un plan stratégique concernant la sécurité des applications et l'utilisez-vous pour prendre des décisions?</p><h3>Quality criteria</h3><table class=table><tbody><tr><td>Le plan reflète les priorités métier de l'organisation et l'appétit envers le risque</td></tr><tr><td>Le plan comprend des jalons mesurables et un budget</td></tr><tr><td>Le plan est cohérent avec les intentions de l'entreprise et les risques</td></tr><tr><td>Le plan établit une feuille de route pour les initiatives stratégiques et tactiques</td></tr><tr><td>Les parties-prenantes adhèrent au projet, y compris les équipes de développement</td></tr></tbody></table><h3>Answers</h3><table class=table><tbody><tr><td>Non</td></tr><tr><td>Oui, nous le revoyons chaque année</td></tr><tr><td>Oui, nous consultons le plan avant de prendre des décisions significatives</td></tr><tr><td>map[Yes, we consult the plan often, and it is aligned with our application security strategy value:map[1 weight:map[1 order:3]]]</td></tr></tbody></table></div><div id=3 class=tabcontent><h2></h2><h3>Benefit</h3><p>Alignement continu du programme AppSec par rapport aux objectifs de l’organisation</p><h3>Activity</h3><p><p>Vous examinez périodiquement le programme de sécurité des applications afin de déterminer son applicabilité continue et son apport aux besoins en évolution de l’organisation et à sa croissance future. Pour ce faire, vous réitérez les deux étapes correspondant aux deux premiers niveaux de maturité de cette pratique de sécurité au moins annuellement. L’objectif est que le programme réponde toujours aux besoins actuels et futurs de l’organisation, ce qui garantit que le programme est aligné sur l’entreprise.</p><p>En plus de passer en revue les missions de l’entreprise, l’organisation surveille de près le succès de la mise en œuvre de chacune des étapes de la feuille de route. Vous évaluez le succès des jalons en fonction d’un large éventail de critères, y compris l’exhaustivité et l’efficacité de la mise en œuvre, les considérations budgétaires, ainsi que tout impact culturel ou changement résultant de l’initiative. Vous passez en revue les étapes manquées ou insatisfaisantes et évaluez les changements possibles au programme dans son ensemble.</p><p>L’organisation développe des tableaux de bord et des mesures pour la gestion et les équipes responsables du développement logiciel afin de surveiller la mise en œuvre de la feuille de route. Ces tableaux de bord sont suffisamment détaillés pour identifier les projets et les initiatives individuels et pour permettre de comprendre clairement si le programme est une réussite et est conforme aux besoins de l’organisme.</p></p><h3>Question</h3><p>Examinez-vous et mettez-vous à jour régulièrement le Plan Stratégique pour la sécurité applicative?</p><h3>Quality criteria</h3><table class=table><tbody><tr><td>Vous revoyez et mettez à jour le plan en réponse à des changements significatifs dans l'environnement d'affaire, dans l'organisation ou dans son appétence envers le risque</td></tr><tr><td>Les étapes de mise à jour du plan comprennent la revue du plan avec toutes les parties prenantes et la mise à jour des facteurs de motivation et de la stratégie de l'entreprise</td></tr><tr><td>Vous ajustez le plan et la feuille de route en fonction des leçons tirées des activités terminées de la feuille de route</td></tr><tr><td>Vous publiez des informations sur l'état d'avancement des activités de la feuille de route, en vous assurant qu'elles sont accessibles à toutes les parties prenantes</td></tr></tbody></table><h3>Answers</h3><table class=table><tbody><tr><td>Non</td></tr><tr><td>Oui, mais la revue est ad-hoc</td></tr><tr><td>Oui, nous le revoyons régulièrement</td></tr><tr><td>Oui, nous le revoyons au moins une fois par an</td></tr></tbody></table></div><div><h2>Stream Guidance</h2><p>There's no guidance for this Stream, yet. Be the first to provide Community guidance!<br><br></p><h4>Want to contribute?</h4><p>Complete this <a href=https://forms.gle/bJUCAUYnK5BNhgWa9 target=_blank>Google Form</a> | ||
| Maturity level 3</button></div><div id=1 class=tabcontent><h2></h2><h3>Benefit</h3><p>Compréhension partagée de la posture de sécurité de votre organisation</p><h3>Activity</h3><p><p>Comprenez, en fonction de l’exposition au risque de l’application, quelles menaces existent ou peuvent exister, et à quel point la direction est tolérante face à ces risques. Cette compréhension est un élément clé pour déterminer les priorités en matière d’assurance sécurité des logiciels. Pour valider ces menaces, interviewez les dirigeants d’entreprise et les autres parties prenantes documentez les motivations propres à l’industrie dans laquelle l’organisme opère ainsi que les motivations propres à l’organisation. Les informations collectées incluent les scénarios les plus pessimistes qui pourraient avoir un impact sur l’organisation, de même que les occasions où un cycle de vie optimisé du développement de logiciels et des applications plus sécurisées pourraient fournir un différentiateur de marché ou créer des opportunités supplémentaires.</p><p>Les informations collectées fournissent une base de référence permettant à l’organisation de développer et de promouvoir son programme de sécurité applicative. Les éléments du programme sont rangés par ordre de priorité pour traiter d’abord les menaces et les opportunités les plus importantes pour l’organisation. La base de référence est divisée en plusieurs facteurs de risque et de motivation liés directement aux priorités de l’organisation et utilisés pour aider à établir un profil de risque pour chaque application développée sur mesure en documentant comment elle peut avoir un impact sur l’organisation si elle est compromise.</p><p>La base de référence et les facteurs de risque individuels devraient être publiés et mis à la disposition des équipes de développement d’applications afin d’assurer un processus plus transparent de création de profils de risque d’application et d’intégrer les priorités de l’organisation dans le programme. De plus, ces buts devraient fournir un ensemble d’objectifs qui devraient être utilisés pour garantir que toutes les améliorations au programme de sécurité des applications fournissent un soutien direct aux besoins actuels et futurs de l’organisation.</p></p><h3>Question</h3><p>Avez-vous une bonne compréhension de l'appétit de risque pour vos applications à travers l'entreprise?</p><h3>Quality criteria</h3><table class=table><tbody><tr><td>Vous capturez l'appétit envers le risque des dirigeants de votre organisation</td></tr><tr><td>Les dirigeants de l'organisation valident et approuvent l'ensemble des risques</td></tr><tr><td>Vous identifiez les principales menaces métier et techniques pour vos actifs et vos données</td></tr><tr><td>Vous documentez les risques et les stockez dans un endroit accessible</td></tr></tbody></table><h3>Answers</h3><table class=table><tbody><tr><td>Non</td></tr><tr><td>Oui, il couvre les risques courants</td></tr><tr><td>Oui, il couvre les risques propres à l'organisation</td></tr><tr><td>Oui, il couvre les risques et les opportunités</td></tr></tbody></table></div><div id=2 class=tabcontent><h2></h2><h3>Benefit</h3><p>Feuille de route disponible et validée de votre programme AppSec</p><h3>Activity</h3><p><p>En fonction de l’ampleur des actifs, des menaces et de la tolérance aux risques, développez un plan stratégique et un budget pour traiter les priorités commerciales en matière de sécurité applicative. Le plan couvre 1 à 3 années et comprend des jalons conformes aux missions et aux risques de l’entreprise. Il fournit des initiatives tactiques et stratégiques et suit une feuille de route qui rend visible son alignement sur les priorités et les besoins de l’entreprise.</p><p>Dans la feuille de route, vous équilibrez les changements nécessitant des dépenses financières avec les changements de processus et de procédures et les changements affectant la culture de l’organisation. Cet équilibre permet de réaliser de multiples étapes simultanément sans surcharger ou épuiser les ressources disponibles ou les équipes de développement. Les jalons sont suffisamment fréquents pour aider à surveiller la réussite du programme et à déclencher les ajustements opportuns de la feuille de route.</p><p>Pour que le programme soit couronné de succès, l’équipe de sécurité applicative obtient le soutien des parties prenantes au sein de l’organisation et celui des équipes de développement d’applications. Un plan publié est à la disposition de toute personne qui est tenue de le soutenir ou de participer à sa mise en œuvre.</p></p><h3>Question</h3><p>Avez-vous un plan stratégique concernant la sécurité des applications et l'utilisez-vous pour prendre des décisions?</p><h3>Quality criteria</h3><table class=table><tbody><tr><td>Le plan reflète les priorités métier de l'organisation et l'appétit envers le risque</td></tr><tr><td>Le plan comprend des jalons mesurables et un budget</td></tr><tr><td>Le plan est cohérent avec les intentions de l'entreprise et les risques</td></tr><tr><td>Le plan établit une feuille de route pour les initiatives stratégiques et tactiques</td></tr><tr><td>Les parties-prenantes adhèrent au projet, y compris les équipes de développement</td></tr></tbody></table><h3>Answers</h3><table class=table><tbody><tr><td>Non</td></tr><tr><td>Oui, nous le revoyons chaque année</td></tr><tr><td>Oui, nous consultons le plan avant de prendre des décisions significatives</td></tr><tr><td>Yes, we consult the plan often, and it is aligned with our application security strategy value</td></tr></tbody></table></div><div id=3 class=tabcontent><h2></h2><h3>Benefit</h3><p>Alignement continu du programme AppSec par rapport aux objectifs de l’organisation</p><h3>Activity</h3><p><p>Vous examinez périodiquement le programme de sécurité des applications afin de déterminer son applicabilité continue et son apport aux besoins en évolution de l’organisation et à sa croissance future. Pour ce faire, vous réitérez les deux étapes correspondant aux deux premiers niveaux de maturité de cette pratique de sécurité au moins annuellement. L’objectif est que le programme réponde toujours aux besoins actuels et futurs de l’organisation, ce qui garantit que le programme est aligné sur l’entreprise.</p><p>En plus de passer en revue les missions de l’entreprise, l’organisation surveille de près le succès de la mise en œuvre de chacune des étapes de la feuille de route. Vous évaluez le succès des jalons en fonction d’un large éventail de critères, y compris l’exhaustivité et l’efficacité de la mise en œuvre, les considérations budgétaires, ainsi que tout impact culturel ou changement résultant de l’initiative. Vous passez en revue les étapes manquées ou insatisfaisantes et évaluez les changements possibles au programme dans son ensemble.</p><p>L’organisation développe des tableaux de bord et des mesures pour la gestion et les équipes responsables du développement logiciel afin de surveiller la mise en œuvre de la feuille de route. Ces tableaux de bord sont suffisamment détaillés pour identifier les projets et les initiatives individuels et pour permettre de comprendre clairement si le programme est une réussite et est conforme aux besoins de l’organisme.</p></p><h3>Question</h3><p>Examinez-vous et mettez-vous à jour régulièrement le Plan Stratégique pour la sécurité applicative?</p><h3>Quality criteria</h3><table class=table><tbody><tr><td>Vous revoyez et mettez à jour le plan en réponse à des changements significatifs dans l'environnement d'affaire, dans l'organisation ou dans son appétence envers le risque</td></tr><tr><td>Les étapes de mise à jour du plan comprennent la revue du plan avec toutes les parties prenantes et la mise à jour des facteurs de motivation et de la stratégie de l'entreprise</td></tr><tr><td>Vous ajustez le plan et la feuille de route en fonction des leçons tirées des activités terminées de la feuille de route</td></tr><tr><td>Vous publiez des informations sur l'état d'avancement des activités de la feuille de route, en vous assurant qu'elles sont accessibles à toutes les parties prenantes</td></tr></tbody></table><h3>Answers</h3><table class=table><tbody><tr><td>Non</td></tr><tr><td>Oui, mais la revue est ad-hoc</td></tr><tr><td>Oui, nous le revoyons régulièrement</td></tr><tr><td>Oui, nous le revoyons au moins une fois par an</td></tr></tbody></table></div><div><h2>Stream Guidance</h2><p>There's no guidance for this Stream, yet. Be the first to provide Community guidance!<br><br></p><h4>Want to contribute?</h4><p>Complete this <a href=https://forms.gle/bJUCAUYnK5BNhgWa9 target=_blank>Google Form</a> | ||
| <i class="link-icon fas fa-external-link-alt"></i>with guidance for this Stream.</p><br><br><blockquote><p>To learn more about Stream guidance for the SAMM model, see the <strong><a href=/stream-guidance>Stream guidance</a></strong> page.</p></blockquote></div><div></div></div></div></div></div><footer id=footer><div class=container><div class="col-md-8 col-sm-6"><h4>À propos de nous</h4><p>This is an OWASP Project.</br>OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security.</p><div class=social><a href=https://github.com/owaspsamm target=_blank style=opacity:1><i class="fab fa-2x fa-github"></i></a><a href=https://owasp.slack.com/messages/C0VF1EJGH target=_blank style=opacity:1><i class="fab fa-2x fa-slack"></i></a><a href=https://www.linkedin.com/company/owasp-samm/ target=_blank style=opacity:1><i class="fab fa-2x fa-linkedin-in"></i></a><a href=https://twitter.com/OwaspSAMM target=_blank style=opacity:1><i class="fa-brands fa-2x fa-x-twitter"></i></a><a href=https://www.meetup.com/owasp-samm/ target=_blank style=opacity:1><i class="fab fa-2x fa-meetup"></i></a><a href=https://www.youtube.com/channel/UCEZDbvQrj5APg5cEET49A_g target=_blank style=opacity:1><i class="fa fa-2x fa-youtube"></i></a><a href=mailto:[email protected] target=_blank style=opacity:1><i class="fa fa-2x fa-envelope"></i></a></div><hr class="hidden-md hidden-lg hidden-sm"></div><div class="col-md-4 col-sm-6"><a href=https://owasp.org target=_blank><img src=https://owaspsamm.org//img/owasp_logo_1c_w_notext.png alt="Créer et Promouvoir"></a></div></div></footer><div id=copyright><div class=container><div class=col-md-12><p class=pull-left>OWASP SAMM is published under the | ||
| <a href=https://creativecommons.org/licenses/by-sa/4.0/>CC BY-SA 4.0 license</a> | ||
| and we share the | ||
|
|
||
Oops, something went wrong.