Note : 7 ; Pour nous guider dans la mise en place de la cybersécurité.

Il faut commencer par ouvrir ce livre pour en comprendre le titre. Il s’agit bien de sécuriser les applications, mais plutôt sous l’angle de la gouvernance et de la mise en place de cette sécurisation. Dit ainsi, cela n’a rien d’attrayant et le texte aurait pu être terriblement rébarbatif. Il n’en est rien, et nous allons voir pourquoi.

L’ouvrage est parfaitement rythmé : il compte 260 structuré en 3 parties, chacune d’entre elle comptant 3 chapitres. La première partie sert à camper le décor, elle sert à nous permettre d’appréhender ce qu’est la sécurisation d’une application. Le chapitre 1 réponds au « pourquoi » de la sécurisation, mais en réalité va bien plus loin. Tout d’abord en introduisant le fameux « security program » qui est la raison d’être du livre, mais surtout en introduisant le securisation pipeline qui est l’apport majeur du texte et défend une approche « shift left » qui parlera bien aux agilistes.

Le second chapitre « understanding the problem” adresse deux sujets majeurs, le premier sera mon préféré, j’ai parlé de la triade CIA : confidentialité, intégrité, disponibilité (availability). L’auteur rentre en profondeur sur chacun de ces thèmes, détaillant la manière de les adresser. Un excellent boulot. Le second thème traite des risques : si j’ai aimé la classification et la présentation des types d’attaquants, la gestion des risques elle-même, s’appuyant sur le NIST, est plus austère. Le dernier chapitre de cette première partie est consacré aux composants de la sécurisation des applications. Tout d’abord on y trouve une excellente introduction à la modélisation des menaces, puis un panorama des outils d’analyse et enfin une évocation des différents types de test. Bref, ce chapitre est une petite mine d’or !

La seconde partie attaque la raison d’être de l’ouvrage : « developping the application security program ». Le chapitre 4 qui ouvre cette seconde partie est consacré à la sécurisation de la supply chain. Le sujet est à mon avis intéressant et son importance justifie qu’il soit en tête de gondole. Mais malgré les efforts de l’auteur, il parait bien que ce ne soit pas son point fort. La vue du pipeline selon l’OWASP n’est pas sans intérêt, mais c’est surtout l’articulation des différents outils évoqués précédemment sur cette chaine (SAST, DAST, IAST et SCA) qui retiendra notre attention. La sécurisation de la chaine elle-même et des artefacts ne sont guère évoqué et ce sont de gros manques.

A contrario, l’acculturation cybersécurité, sujet du chapitre 5 passionne Derek Fisher. Le chapitre dress un beau panel des supports d’acculturation avec une emphase particulière sur le micro-learning. L’architecture Review Process sent bon la poussière et ne m’a guère fait rêver. Mais le chapitre se termine par une trop courte mais fort bien faite introduction aux modèles de maturité OWASP SAMM et BSIMM qui donne de bonnes idées pour les utiliser intelligemment. Cette seconde partie se referme sur une idée tout à fait originale mais réellement très intéressante : la « cybersecurity as a service ». Elle met à mal l’idée de la security gate qui honnêtement fleure bon le cycle en cascade pour aller vers un « security enablement » où les sollicitations de service sont « tirées » par l’équipe. Le concept est fort et mériterait sans doute plus de développements, mais c’est sans doute le point le plus fort de l’ouvrage et en justifie l’achat à lui seul !

La 3ème partie « deliver and measure » est un pu trompeur sur la finalité : elle englobe la réalisation et la mise en œuvre de la roadmap de sécurisation. La première étape, évoquée au chapitre 7 est d’établir cette roadmap. La démarche est classique et bien ficelée : tracer le constat initial, établir les objectifs de sécurisation, analyser le « gap », puis échelonner les travaux dans le temps. 3 éléments prépondérants y sont bien évoqués : la place des outils, l’approche sur la gestion des vulnérabilités et la gamme des recommandations qui peuvent être déployées, des plus générales (les politiques) au plus précises et contraignantes (les procédures). Je regrette pour ma part l’absence de croisement avec les modèles de maturité qui auraient permis de couvrir les différentes dimensions de la gouvernance.

Assez logiquement au chapitre 8 nous trouvons le pendant ou plutôt le pilotage de cette roadmap : les mesures. Le chapitre n’est pas flamboyant mais donne 2 ou 3 pistes, passé une introduction un peu vaseuse sur l’efficacité des outils. Le propos est surtout centré sur la gestion des vulnérabilités : tendances et temps moyen de remédiation. Le livre se referme sur un chapitre consacré à l’amélioration continue du programme de sécurisation. En vérité ce sujet a déjà un peu été traité tout au long de l’ouvrage. Le sujet intéressant de ce chapitre concerne les frameworks d’attaque : MITRE ATT&CK et Cyber Kill Chain.

Ce texte n’est pas réellement une introduction à la cybersécurité, bien que l’introduction aille dans ce sens. Il est destiné non aux experts, mais aux managers en charge d’un programme de sécurisation. Il donne les clé pour appréhender les pratiques à mettre en place et établir un véritable plan de progression de sécurisation. Si vous êtes dans ce cas, ce livre vous sera précieux pour vous mettre à la tâche.

Référence complète : Application Security Program Handbook – Derek Fisher – Manning 2022 – ISBN: 978 1 63343 981 8