L'étude BSIMM8 renforce l'analyse comparative en tant qu'exercice critique dans les premières étapes des initiatives de sécurité logicielle

20171009_snps_bsimmballoons

Première sortie dans la région APAC, la dernière itération du modèle Building Security in Maturity montre que davantage d'organisations relancent leurs initiatives de sécurité logicielle avec des évaluations et s'améliorent au fil du temps

Singapour, @mcgallen #microwireinfo, 9 octobre 2017 - Synopsys, Inc. (Nasdaq: SNPS) a publié BSIMM8, la dernière version d'un modèle de maturité de la sécurité logicielle de premier plan, qui est basé sur des données du monde réel et aide les organisations à planifier, exécuter et mesurer leurs initiatives de sécurité logicielle (SSI). Première sortie dans la région APAC, la huitième itération du modèle BSIMM (Building Security in Maturity Model) est basée sur des données collectées auprès de la plus grande communauté à ce jour. BSIMM8 montre que la sécurité logicielle devient une priorité commerciale essentielle, de plus en plus d'organisations évaluant leurs efforts au début de leur cycle de vie SSI et utilisant les résultats de manière stratégique pour améliorer leur posture de risque au fil du temps. Pour télécharger le rapport, visitez https://www.bsimm.com/download.html.

«Avec la montée en puissance des attaques largement distribuées et de plus en plus perturbatrices ciblant les logiciels vulnérables, nous assistons à un passage de l'approche réactive« pénétrer et corriger »à des stratégies plus proactives qui permettent aux organisations de créer systématiquement des logiciels sécurisés à partir de zéro», a déclaré le Dr Gary McGraw, vice-président de la technologie de sécurité chez Synopsys. «Les organisations commencent à comprendre qu'elles peuvent atténuer les risques plus efficacement en établissant une initiative de sécurité logicielle, en évaluant leurs forces et leurs faiblesses dès le début grâce à des instruments comme le BSIMM, et en concentrant leurs efforts sur les pratiques et activités les plus appropriées.»

BSIMM8 comprend des données collectées auprès de 109 entreprises et décrit le travail de 4,769 professionnels de la sécurité logicielle, présentant la science derrière les meilleures pratiques en matière de sécurité logicielle. Leur travail guide et maximise les efforts de sécurité de près de 300,000 95,000 développeurs sur environ 8 XNUMX applications. Les entreprises BSIMMXNUMX représentent des secteurs verticaux de l'industrie, notamment les services financiers, les éditeurs de logiciels indépendants (ISV), le cloud, la santé, l'Internet des objets (IoT) et l'assurance.

Principales conclusions de l'étude BSIMM8:

  • Les organisations utilisent le BSIMM pour relancer leurs SSI. BSIMM8 introduit les entreprises aux premiers stades du cycle de vie SSI, comme en témoigne une légère diminution du score de maturité moyen1 (33.1, contre 33.9 dans BSIMM7) et de l'âge moyen du groupe de sécurité logicielle (3.88 ans, contre 3.94 dans BSIMM7) du Population BSIMM. L'analyse comparative SSI est l'une des premières étapes cruciales du parcours de sécurité logicielle.
  • Les entreprises BSIMM mûrissent au fil du temps. Les entreprises qui ont participé à plusieurs évaluations BSIMM montrent une nette tendance à l'amélioration, les scores augmentant en moyenne de 10.3, ou 33.4%. L'analyse comparative est un exercice efficace pour guider les organisations sur la voie optimale vers la création cohérente de logiciels sécurisés.
  • La maturité varie selon l'industrie. Chaque secteur donne la priorité à certaines activités par rapport à d'autres, et chaque secteur et chaque organisation a un chemin différent vers la sécurité. Les entreprises de services financiers et de cloud ont des scores nettement plus élevés en matière de conformité et de pratiques politiques, tandis que les entreprises IoT ont les pratiques d'environnement logiciel les plus matures.

Selon Gartner, «la sécurité des applications nécessite une approche programmatique structurée pour faire face au chaos apparent des nouvelles technologies et à l'évolution du paysage des menaces. Un programme de sécurité des applications réussi doit être une combinaison équilibrée de personnes, de processus et de technologie. »2

Le BSIMM observe les entreprises qui ont mis en place de réelles initiatives de sécurité logicielle, quantifiant l'occurrence de 113 activités pour montrer le terrain d'entente partagé par de nombreuses initiatives ainsi que les variations qui rendent chaque initiative unique. Les données BSIMM montrent que les initiatives à haute maturité sont bien équilibrées - menant de nombreuses activités dans les 12 pratiques décrites par le modèle. Les organisations peuvent utiliser le BSIMM pour comparer les initiatives et déterminer quelles activités supplémentaires pourraient être utiles.

Remerciements
Le Dr McGraw, avec Sammy Migues, scientifique principal chez Synopsys, et Jacob West, architecte en chef chez NetSuite, ont analysé les données collectées au cours des neuf dernières années de recherche sur la sécurité logicielle. Les entreprises participant aux évaluations comprennent: Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Groupe financier, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco , Citigroup, Citizen's Bank, Comerica Bank, Cryptography Research (une division de Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors NV, Oracle NSGBU, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, The Advisory Board, The Home Depot, The Vanguard Group, Trainline, Trane, États-Unis Ba nk, Veritas, Verizon, Wells Fargo, Zendesk et Zephyr Health.

1. Le score BSIMM reflète le nombre total d'activités de sécurité logicielle observées lors de l'évaluation de l'initiative de sécurité logicielle d'une entreprise. Chaque activité vaut un point et le cadre BSIMM comprend 113 activités.

2. Source: Gartner, «A Guidance Framework for Establishing and Maturing an Application Security Program», 23 décembre 2016, Michael Isbitski & Ramon.

À propos du BSIMM
Lancé en 2008, le Building Security in Maturity Model (BSIMM) est un outil de mesure et d'évaluation des initiatives de sécurité logicielle. Modèle basé sur les données et outil de mesure développé grâce à une étude et une analyse minutieuses des initiatives de sécurité logicielle, le BSIMM comprend des données réelles provenant de plus de 100 organisations. Le BSIMM est une norme ouverte qui comprend un cadre basé sur des pratiques de sécurité logicielle, qu'une organisation peut utiliser pour évaluer ses propres efforts en matière de sécurité logicielle. Pour plus d'informations, visitez https://www.bsimm.com.

À propos de la plateforme d'intégrité logicielle Synopsys
Synopsys offre la solution la plus complète pour intégrer l'intégrité - sécurité et qualité - au cycle de vie du développement logiciel et à la chaîne d'approvisionnement. La plate-forme d'intégrité logicielle réunit des technologies de test de pointe, des analyses automatisées et des experts pour créer un portefeuille robuste de produits et de services. Ce portefeuille permet aux entreprises de développer des programmes personnalisés pour détecter et corriger les défauts et les vulnérabilités au début du processus de développement, minimisant les risques et maximisant la productivité. Synopsys, leader reconnu des tests de sécurité des applications, est idéalement positionné pour adapter et appliquer les meilleures pratiques aux nouvelles technologies et tendances telles que l'IoT, le DevOps, le CI / CD et le Cloud. Pour plus d'informations, rendez-vous sur www.synopsys.com/software.

À propos de Synopsys
Synopsys, Inc. (Nasdaq: SNPS) est le partenaire Silicon to Software ™ pour les entreprises innovantes développant les produits électroniques et les applications logicielles sur lesquelles nous comptons chaque jour. En tant que 15e plus grand éditeur de logiciels au monde, Synopsys est depuis longtemps un leader mondial de l'automatisation de la conception électronique (EDA) et de la propriété intellectuelle des semi-conducteurs et renforce également son leadership dans les solutions de sécurité et de qualité logicielles. Que vous soyez un concepteur de système sur puce (SoC) créant des semi-conducteurs avancés ou un développeur de logiciels écrivant des applications qui nécessitent la sécurité et la qualité les plus élevées, Synopsys a les solutions nécessaires pour fournir des produits innovants, de haute qualité et sécurisés. En savoir plus sur www.synopsys.com.

###