Microsoft libère sa méthode de développement sécurisé

Les responsables sécurité le savent : Pour être efficace, la sécurité doit être intégrée très en amont dans le processus de développement d'un logiciel ou d'un service. Faire que cela soit réalité dans les entreprises n'est pas une mince affaire car cela implique de modifier en profondeur les us et coutumes des personnes.
Les méthodes de développement sécurisé de Microsoft
Microsoft vient de passer en licence CC (Creative Commons) certains de leurs documents décrivant la méthode SDL (Security Development Lifecycle) développée en interne et mise en place afin d'améliorer la sécurité de leur logiciels et services.
Pour le moment, cela concerne deux documents (d'autres devraient suivre) :

• Simplified Implementation of the Microsoft SDL
• Microsoft Security Development Lifecycle (SDL) - Version 5.0

Décliner la méthode en interne
En clair, cela veut dire qu'il est désormais possible et autorisé de ré-utiliser tout ou partie de ces documents afin de décliner une telle démarche au sein de votre entreprise. Pour les détails de la licence CC accordée allez ici.
Une initiative de Microsoft qu'il convient de saluer comme il se doit !
Réussir en adaptant les processus en place
Ayant mis en place au sein d'Orange Business Services un processus similaire de prise en compte de la sécurité pour le développement des offres et services, deux points clefs :

• Ne cherchez pas à mettre en place un nouveau processus, travaillez plutôt en adaptation/évolution du processus existant.
• Faites-le en collaboration et avec le soutien des personnes en charge des processus dans votre entreprise : ces personnes sont vos meilleurs alliés.
  

PS: Avoir ce type de méthode en place ne garanti aucunement qu'aucun bug ou faille ne viendra se glisser. C'est simplement qu'il devrait y en avoir moins et que les plus gros devraient normalement être attrapés dans les mailles du filet. :-)