OWASP SAMM
Qu'est-ce que OWASP SAMM ?
OWASP SAMMSoftware Assurance Maturity Model de l'OWASP, cadre pour mesurer et ameliorer dans la duree les pratiques de developpement securise d'une organisation.
L'OWASP Software Assurance Maturity Model (SAMM) est un cadre prescriptif et mesurable qui aide les organisations a formuler et mettre en oeuvre un programme de securite logicielle adapte a leur profil de risque. SAMM v2 s'articule autour de cinq fonctions metier (Governance, Design, Implementation, Verification, Operations), chacune declinee en pratiques de securite avec trois niveaux de maturite et des activites concretes. Les equipes utilisent le toolbox SAMM pour evaluer la maturite, fixer des niveaux cibles et batir des feuilles de route alignant les investissements AppSec sur le risque metier. Technologiquement agnostique, SAMM complete ISO 27001, NIST SSDF et BSIMM et est largement adopte par les entreprises et regulateurs cherchant des preuves objectives de maturite AppSec.
● Exemples
- 01
Un CISO realise une evaluation SAMM annuelle pour justifier l'investissement dans le threat modeling et les capacites SAST.
- 02
Mapper les pratiques SAMM sur les taches NIST SSDF afin de demontrer la conformite a une exigence client federal US.
● Questions fréquentes
Qu'est-ce que OWASP SAMM ?
Software Assurance Maturity Model de l'OWASP, cadre pour mesurer et ameliorer dans la duree les pratiques de developpement securise d'une organisation. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie OWASP SAMM ?
Software Assurance Maturity Model de l'OWASP, cadre pour mesurer et ameliorer dans la duree les pratiques de developpement securise d'une organisation.
Comment fonctionne OWASP SAMM ?
L'OWASP Software Assurance Maturity Model (SAMM) est un cadre prescriptif et mesurable qui aide les organisations a formuler et mettre en oeuvre un programme de securite logicielle adapte a leur profil de risque. SAMM v2 s'articule autour de cinq fonctions metier (Governance, Design, Implementation, Verification, Operations), chacune declinee en pratiques de securite avec trois niveaux de maturite et des activites concretes. Les equipes utilisent le toolbox SAMM pour evaluer la maturite, fixer des niveaux cibles et batir des feuilles de route alignant les investissements AppSec sur le risque metier. Technologiquement agnostique, SAMM complete ISO 27001, NIST SSDF et BSIMM et est largement adopte par les entreprises et regulateurs cherchant des preuves objectives de maturite AppSec.
Comment se défendre contre OWASP SAMM ?
Les défenses contre OWASP SAMM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OWASP SAMM ?
Noms alternatifs courants : Software Assurance Maturity Model, SAMM.
● Termes liés
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.
- compliance№ 781
OWASP Top 10
Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.
- appsec№ 982
Codage sécurisé
Pratique consistant à écrire du code minimisant les défauts de sécurité, en suivant des modèles défensifs, des règles propres au langage et des guides reconnus.
- appsec№ 1150
Modélisation des menaces
Analyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.
- compliance№ 204
Conformité
Discipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.