Un certificat de bonne conduite pour les programmeurs

Par 01 octobre 2008
Mots-clés : Smart city

Développé par (ISC)2, la garantie CSSLP permet d'évaluer la compétence des personnes impliquées dans le développement et la maintenance d'applications. Objectif : améliorer l'intégrité de ces dernières.

Afin de réduire le nombre croissant d'applications vulnérables, (ISC)2 annonce la création d'un certificat destiné à valider l'expertise des professionnels travaillant au développement de logiciels. Intitulé CSSLP pour "Certified Secure Software Lifecycle Professional", cette nouvelle garantie veut endiguer la prolifération des failles que comportent nombre de logiciels en termes de sécurité. Celles-ci résultant le plus souvent de processus de développement insuffisamment contrôlés, le certificat CSSLP veut du coup imposer de meilleures pratiques à ceux qui travaillent à l'élaboration et à la maintenance de logiciels. Il évaluera leurs compétences en abordant la plupart des problèmes de sécurité qu'un logiciel peut avoir tout au long de son cycle de vie. Ce processus de certification prétend aborder les questions de sécurité logicielle d'un point de vue global.
Une approche globale
Neutre en termes de codes et de langages, le certificat CSSLP pourra être délivré à quiconque est impliqué dans le cycle de vie d'un logiciel, qu'il s'agisse d'analystes, de développeurs, d'ingénieurs, de programmeurs etc. Ces personnes devront pour ce faire satisfaire aux critères imposés par (ISC)2. "Plus des deux tiers des vulnérabilités des logiciels se trouvent au niveau de leurs couches applicatives", souligne Howard A. Schmidt, l'un des membres du conseil d'administration de (ISC)2. "Trop souvent, ces failles ne sont prises en compte qu'à la fin du cycle de vie du logiciel, après qu'une menace ou une exposition néfaste ont déjà été détectées". Plutôt que d'ajouter des rustines logicielles après coup, (ISC)2 privilégie donc une procédure permettant aux professionnels d'identifier les défauts logiciels en amont.
Agir en amont
"Les logiciels mal sécurisés ne représentent pas seulement un danger pour les entreprises qui les utilisent. Ils peuvent aussi causer des coûts de production et des délais supplémentaires pour leurs développeurs". Le CCSLP se veut à ce titre une brique indispensable dans le développement d'une infrastructure de sécurisation optimale pour le développement de logiciels. Pour rappel, (ISC)2 est une société à but non lucratif dédiée à la certification des professionnels de la sécurité de l'information du monde entier Fondée en 1989, (ISC)2 a déjà certifié plus de soixante mille professionnels de la sécurité de l’information dans plus de cent pays. Son initiative est soutenue par des géants tels que Microsoft, Symantec, Cisco ou Xerox.

Mentions légales © L’Atelier BNP Paribas