M3 Security Leader : Acquisition et développement de systèmes sécurisés

En tant que principal acteur de la sécurité des logiciels, le Chief Information Security Officer (CISO) est responsable de la sécurité des logiciels du point de vue de la gouvernance, de la conformité et des risques.

Intégrer la sécurité et la protection de la vie privée dans les pratiques d’acquisition, de développement et de gestion des logiciels d’une organisation peut s’avérer une tâche ardue. De nombreux facteurs doivent être pris en compte pour tracer la voie à suivre, notamment : la structure de l’entreprise, les priorités des parties prenantes, les piles technologiques, les outils et les processus, ainsi que la dette technique existante. Comment la sécurité s’intègre-t-elle dans les méthodes de travail en cascade, agiles et DevOps ? Quels sont les cadres qui peuvent vous aider à y parvenir ?

Lors de l’évaluation, de l’acquisition ou du développement de systèmes et d’applications, ou de l’utilisation de services cloud, comment s’assurer que des exigences de sécurité correctes et pertinentes sont documentées et vérifiées avant l’acquisition ou le développement de l’application ou du service ?

Dans les infrastructures modernes basées sur le cloud, les pipelines CI/CD (Continuous Integration/Delivery) sont la voie à suivre. Mais qu’est-ce que cela signifie exactement ? Et que devez-vous savoir à ce sujet en tant que CISO ? Quels sont les avantages de l’automatisation en matière de sécurité ?

Comment vous assurer que les exigences de sécurité que vous avez définies au début du projet sont mises en œuvre ? Quelles sont les possibilités de tests de sécurité ? Apprenez-en plus sur SAST, DAST et IAST et sur la manière dont vous pouvez les utiliser pour vous assurer que la sécurité a été intégrée comme il se doit.

Avec ce module ‘Acquisition et développement de systèmes sécurisés’, nous vous apprendrons à mettre en place et à améliorer un programme logiciel sécurisé (SSP) pour gérer l’identification, l’analyse et la spécification des exigences en matière de sécurité de l’information, la sécurisation des services d’application dans les processus de développement et de support, les restrictions de révision technique sur les changements apportés aux progiciels, les principes d’ingénierie des systèmes sécurisés, l’environnement de développement sécurisé, le développement externalisé, les tests de sécurité des systèmes et la protection des données de test.

Pourquoi suivre ce module ?

A l’issue de ce module, vous aurez une bonne connaissance des points suivants :

• Le programme de sécurité des logiciels
• La sécurité et la protection de la vie privée dès la conception et par défaut
• La définition des exigences de sécurité
• La sécurisation des pipelines CI/CD et l’automatisation
• Les tests de sécurité

Ce module est également le troisième module d’un programme unique devant conduire à une certification CISO officielle. Pour consulter les autres modules, téléchargez ce fichier : Télécharger la brochure CISO.

À qui s’adresse le module ‘Acquisition et développement de systèmes sécurisés’ du programme ‘Certified CISO’ ? Ce module s’adresse aux responsables de l’information et de la cybersécurité, aux gestionnaires et aux professionnels de la sécurité chargés de lancer ou d’améliorer un programme de sécurité logicielle. Ce module peut également être utile pour les personnes travaillant dans le domaine de la gestion des logiciels.

Objectifs d’apprentissage

Un petit aperçu de ce que vous apprendrez :

• Comprendre les pratiques modernes de développement de logiciels
• Lancer et améliorer un programme logiciel sécurisé (SSP)
• Définir et gérer les métriques des logiciels sécurisés
• Comprendre le pourquoi et le comment de la modélisation des menaces
• Aligner la modélisation des menaces avec les parties prenantes
• Intégrer la sécurité et la confidentialité par conception et par défaut dans votre SSP
• Gérer les exigences de sécurité dans un processus en quatre étapes
• Aligner les exigences de sécurité avec les fournisseurs de logiciels
• Comprendre le pipeline CI/CD et ses composants
• Intégrer des contrôles de sécurité dans les pipelines CI/CD
• Comprendre et intégrer différents tests de sécurité dans votre SSP
• Gérer les vulnérabilités des logiciels
• Créer une stratégie de test de sécurité

Approche pédagogique

Lorsqu’il s’agit de mettre en place et de gérer un programme logiciel sécurisé, il existe une grande variété d’approches. Il n’existe pas de formule universelle.

C’est pour cette raison que ce module a un double objectif. Il vise à vous présenter les cadres actuels et les meilleures pratiques disponibles et à vous apporter les compétences pratiques nécessaires pour les appliquer correctement au sein de votre organisation.

Pour ce faire, nous avons fait appel à des professionnels hautement qualifiés qui sont dans le feu de l’action depuis des années. Ils partagent avec vous des conseils pratiques et vous enseignent l’essentiel de ce que vous devez savoir. Le module de cours lui-même est un mélange de modèles théoriques, de cadres et de meilleures pratiques pour vous donner un aperçu de ce qui existe, en combinaison avec des exercices pratiques pour appliquer ce que vous avez appris dans des situations de la vie réelle.

Produit final

Vous recevrez un certificat d’achèvement à la fin du module. Ce module ne fait l’objet d’aucun examen ou certification officielle.

Remarque: vous avez l’intention de suivre l’intégralité du parcours ‘Certified CISO’ ? Dans ce cas, vous aurez besoin d’un certificat d’achèvement pour tous les modules, et ces certificats doivent avoir été obtenus au cours des deux dernières années. Les six premiers modules doivent être terminés pour pouvoir commencer le 7e et dernier module, le ‘Master Project’, dans lequel vous appliquerez le contenu des modules précédents à un seul projet intégré. À l’issue de ce module, et en cas d’évaluation positive, vous obtiendrez le certificat ‘Certified CISO’.

Vous recevez en prime :

• Le matériel didactique (format imprimé et PDF) : les documents des présentations avec les notes
• Une liste de liens utiles avec des informations complémentaires sur les normes et les cadres abordés pendant la formation
• Les exercices et leurs solutions (le cas échéant)

Comment vous préparer

Il s’agit d’un module non technique donné en présentiel. Veuillez vous munir d’un ordinateur portable, d’un carnet de notes ou d’une tablette, par exemple, pour prendre des notes supplémentaires.

Prérequis :

• Compréhension de base des technologies de l’information et du développement de logiciels
• Une expérience en entreprise en tant que manager peut être utile mais n’est pas essentielle

Cliquez ici pour plus d’informations sur nos formateurs.