Scribd
Importer
22 vues2 pages

ISO27002

L'audit ISO 27002 de TDSI Bank révèle des lacunes dans la sécurité de son réseau bancaire, notamment en matière de développement sécurisé et de gestion des risques. Les utilisateurs ont un accès excessif aux systèmes et aux codes sources sans formation adéquate sur les bonnes pratiques de sécurité. Des recommandations sont proposées pour améliorer la gouvernance de la sécurité, la planification, la conception et l'implémentation sécurisées des applications.

Transféré par

Catm
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
22 vues2 pages

ISO27002

L'audit ISO 27002 de TDSI Bank révèle des lacunes dans la sécurité de son réseau bancaire, notamment en matière de développement sécurisé et de gestion des risques. Les utilisateurs ont un accès excessif aux systèmes et aux codes sources sans formation adéquate sur les bonnes pratiques de sécurité. Des recommandations sont proposées pour améliorer la gouvernance de la sécurité, la planification, la conception et l'implémentation sécurisées des applications.

Transféré par

Catm
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Audit ISO 27002

l'entreprise TDSI Bank dispose d'un reseau bancaire S travers les differentes
regions du Senegal. Chaque reseau regional est connecte au site central de Dakar
Le site central dispose de plusieurs ap lications composees de serveurs d'application
bancaire, de serveur de finance et t serveur permettant ('acres biometrique La bank
dispose de plusieurs utilisateurs composes de stagiaires, de comptables, de
marqueteurs et d'IT et de la Direction, tour se connectent au merne reseau local et
par will Les agences des regions se connectent au siege avec le protocole http et ftp
Les utilisateurs arrivent A se connecter sur n'importe quels sites web Les develop
pours ont acres aux codes sources au sein de l'entreprise et ils ne soot formes aux
bonnes pratiques du secure coding Les utilisateurs peuvent installer tout type
d'applications ou logiciels sur leurs machines.

 secure development life cycle (SDLC).


Gouvernance de la sécurité du SDLC
a. La politique de sécurité du SDLC est-elle communiquée, comprise et
acceptée par tous les membres de l'organisation impliqués dans le
développement logiciel ?
Réponse:
b. Existe-t-il des mécanismes de reporting et de suivi des problèmes de
sécurité identifiés pendant le développement?
c. Y a-t-il des procédures documentées pour la gestion des risques de
sécurité tout au long du cycle de vie du développement logiciel ?
d.
Planification et conception sécurisée
a. Les exigences de sécurité sont-elles prises en compte dès la phase de
planification et de conception du développement logiciel ?
b. Les mesures de sécurité, telles que l'authentification, l'autorisation et le
chiffrement, sont-elles intégrées dans la conception des applications
dès le départ ?
c. Les équipes de développement sont-elles formées aux bonnes
pratiques de conception sécurisée ?
d.
Implémentation sécurisée
a. Les équipes de développement suivent-elles des bonnes pratiques de
codage sécurisé, telles que la validation des entrées, l'échappement
des caractères spéciaux et la protection contre les injections SQL ?
b. Les bibliothèques logicielles utilisées sont-elles régulièrement mises à
jour pour inclure les correctifs de sécurité les plus récents ?

Formation et sensibilisation
a. Les membres des équipes de développement reçoivent-ils une
formation régulière sur les bonnes pratiques de développement logiciel
sécurisé ?
b. Les mesures de sécurité du SDLC sont-elles régulièrement révisées et
mises à jour pour suivre les évolutions des menaces et des
technologies ?

 application security requiremnts

Processus de définition des exigences en matière de


sécurité des applications
a. Existe-t-il un processus documenté pour définir les exigences de
sécurité des applications dès le début du cycle de développement ?
b. Les exigences de sécurité des applications sont-elles dérivées de
normes de sécurité reconnues et de bonnes pratiques, telles que
l'OWASP Top 10 ?
Intégration des exigences de sécurité dans le cycle de développement
a. Les exigences de sécurité des applications sont-elles intégrées dans
les processus de gestion des projets et de développement logiciel de
l'organisation ?
b. Les équipes de développement sont-elles formées à la compréhension
et à la mise en œuvre des exigences de sécurité des applications ?
c. Existe-t-il des mécanismes de contrôle pour s'assurer que les
exigences de sécurité sont prises en compte à chaque phase du cycle
de développement ?
 secure system architecture and engineering
principles

Vous aimerez peut-être aussi