Table des matières
INTRODUCTION
CHAPITRE 1 TRAVAUX PRÉPARATOIRES
1.1 Motivation du chercheur
1.2 Sécurité de l’information et gestion du risque
1.3 Contextes de la sécurité de l’information
1.4 Analyse de l’impact de ces contextes sur la sécurité des applications (SA)
1.4.1 Problèmes de SA selon le contexte d’affaires
1.4.2 Problèmes de SA selon le contexte juridique
1.4.3 Problèmes de SA selon le contexte technologique
1.5 Synthèse de la problématique de la SA
CHAPITRE 2 OBJECTIFS ET MÉTHODOLOGIE DE RECHERCHE
2.1 Question de recherche
2.2 Enjeux de la sécurité de l’information dans les applications
2.3 But de la recherche
2.4 Objectifs de recherche
2.5 Stratégies de recherche
2.5.1 Axe de la stratégie de conception du modèle SA
2.5.2 Axe de la stratégie de validation
2.5.3 Axe de la stratégie de vérification partielle
2.5.4 Axe de la stratégie de diffusion
2.6 Méthodologie de recherche
2.6.1 Description sommaire de la méthodologie de la recherche
2.6.2 Sélection de la méthode Delphi
2.6.3 Adaptation de la méthode Delphi au projet de recherche
2.6.4 Vision globale de la méthodologie de recherche
2.6.5 Critères à rencontrer durant la recherche
CHAPITRE 3 REVUE DE LITTÉRATURE
3.1 Objectifs de la revue de littérature
3.2 Sélection et classement des ouvrages consultés sous l’angle de la SA
3.3 Documents couverts par la revue de littérature
3.3.1 Ouvrages liés à la gouvernance de la sécurité de l’information et des applications
3.3.2 Ouvrages liés à l’intégration d’éléments de sécurité dans les phases de développement, d’acquisition ou de maintenance d’applications
3.3.3 Ouvrages liés à l’environnement et l’infrastructure technologiques des applications
3.3.4 Ouvrages liés à la vérification et aux audits de SA
3.4 Identification des éléments de réponses aux problématiques en SA
3.5 Constats de la revue de littérature
3.5.1 Synthèse des éléments provenant d’articles scientifiques
3.5.2 Synthèse des pistes de solutions proposées par les ouvrages consultés
3.6 Revue complémentaire
3.6.1 Analyse rétroactive des travaux de maîtrise du chercheur en sécurité informatique
3.6.2 Analyse rétroactive du cours universitaire de premier cycle en sécurité appliquée développé par le chercheur
3.6.3 Analyse rétroactive des certifications professionnelles obtenues par le chercheur en sécurité de l’information et des applications
3.6.4 Analyse rétroactive de la démarche et des résultats de l’audit de sécurité des applications dirigée par le chercheur
3.7 Termes et définitions retenus pour ce travail de recherche
CHAPITRE 4 CONCEPTION DU MODÈLE DE LA SÉCURITÉ DES APPLICATIONS
4.1 Synthèse des travaux de recherche
4.1.1 Besoins de l’audience visée
4.1.2 Évolution de la portée du modèle SA
4.1.3 Principes identifiés par le modèle SA
4.1.4 Termes définis dans le modèle SA
4.1.5 Concepts intégrés au modèle SA
4.1.6 Composants du modèle SA
4.1.7 Groupes et rôles d’acteurs identifiés dans le modèle SA
4.1.8 Processus identifiés par le modèle SA
CHAPITRE 5 LE MODÈLE DE LA SÉCURITÉ DES APPLICATIONS
5.1 Ce qu’implique la SA
5.2 Éléments du modèle SA
5.3 Enjeux de la mise en place du modèle SA
5.3.1 Priorisation des éléments du modèle à mettre en place
5.3.2 Formalisation du CNO
5.3.3 Engagement d’investissement des ressources appropriées
5.3.4 Participation des intervenants liés aux quatre domaines d’intervention couverts par le modèle SA
5.4 Caractéristiques du modèle SA et réponses aux problématiques identifiées
5.5 Besoins de l’audience ciblée par le modèle SA
5.5.1 Besoins des gestionnaires
5.5.2 Besoins des équipes d’approvisionnement et d’opération
5.5.3 Besoins des vérificateurs et des auditeurs
5.5.4 Besoins des acheteurs
5.5.5 Besoins des fournisseurs
5.5.6 Besoins des utilisateurs
5.6 Portée du modèle SA
5.7 Principes clés de la SA
5.7.1 La SA doit être gérée
5.7.2 La SA est une exigence
5.7.3 La SA est dépendante de l’environnement de l’application
5.7.4 La SA nécessite les ressources appropriées
5.7.5 La SA doit pouvoir être démontrée
5.8 Concepts et définitions introduits par le modèle SA
5.8.1 Application
5.8.2 Environnement d’une application
5.8.3 Contexte d’affaires de l’application
5.8.4 Contexte juridique de l’application
5.8.5 Contexte technologique de l’application
5.8.6 Spécifications et fonctionnalités de l’application
5.8.7 Groupes d’informations liées à la SA
5.8.8 Risques de la SA
5.8.9 Exigences de la SA
5.8.10 Contrôles de SA
5.8.11 Vulnérabilités d’une application
5.8.12 Niveau de confiance d’une application
5.8.13 Application sécuritaire
5.9 Composants du modèle SA
5.9.1 Comité de gestion du CNO
5.9.2 Cadre normatif de l’organisation (CNO)
5.9.3 Contexte d’affaires
5.9.4 Contexte juridique
5.9.5 Contexte technologique
5.9.6 Dépôt des spécifications et des fonctionnalités des applications
5.9.7 Dépôt des rôles, responsabilités et qualifications
5.9.8 Dépôt des groupes d’informations catégorisés
5.9.9 Contrôle de sécurité des applications (CSA)
5.9.10 Bibliothèque de CSA
5.9.11 Matrice de traçabilité de la SA
5.9.12 Modèle de référence du cycle de vie de la SA (MRCVSA)
5.9.13 Modèle du cycle de vie de la sécurité d’une application
5.9.14 Cadre normatif de l’application (CNA)
5.10 Processus du modèle SA
5.10.1 Gérer le comité du CNO
5.10.2 Gestion du CNO
5.10.3 Gestion des risques de la SA
5.10.4 Gestion de la SA
5.10.5 Audit et certification de la mise en oeuvre du modèle SA
CHAPITRE 6 VALIDATION DU MODÈLE SA
6.1 Validation du modèle SA à l’aide de la méthode Delphi
6.2 Vérification empirique partielle du modèle SA
6.2.1 Processus de vérification empirique partielle de l’applicabilité et de l’acceptabilité des éléments du modèle SA par les organisations
6.2.2 Conception de l’étude de cas
6.2.3 Préparation de la collecte des données
6.2.4 Collecte des données : présentation et utilisation du modèle en industrie
6.2.5 Rapport : interprétation des mesures empiriques et de l’impact du modèle dans l’industrie
6.3 Évaluation de la qualité des mesures de la méthode ASIA
6.3.1 Objectif
6.3.2 Démarche
6.3.3 Évaluation des critères et activités de mesure
6.3.4 Résultats
6.4 Comparaison de l’impact du modèle sur la sécurité des systèmes de votation des projets DGÉQ 2006 et ÉC 2010
6.5 Compilation des réponses apportées par le modèle SA aux problématiques de la sécurité des applications
6.6 Positionnement du modèle SA avec les pratiques et normes existantes
CHAPITRE 7 CONTRIBUTIONS DU CHERCHEUR ET ATTEINTE DES OBJECTIFS DE RECHERCHE
7.1 Éléments clés du modèle SA et contributions du chercheur
7.2 Atteintes des objectifs de recherche
7.2.1 Premier objectif : développer un modèle SA qui répond aux critères du but de la recherche
7.2.2 Deuxième objectif : s’assurer que le modèle permette d’intégrer des contrôles de sécurité durant tout le cycle de vie d’une application
7.2.3 Troisième objectif : munir le modèle SA de mécanismes permettant de fournir à l’organisation les preuves que son application a atteint et maintient le niveau de confiance préalablement ciblé, et ce, en fonction de son contexte d’utilisation spécifique
7.2.4 Quatrième objectif : faire vérifier le modèle SA par plusieurs
vérificateurs experts, délégués par différentes instances nationales compétentes
7.2.5 Cinquième objectif : faire approuver le modèle par une organisation internationale de normalisation
7.2.6 Sixième objectif : rendre le modèle SA accessible à toute organisation désirant mettre en place ou vérifier la sécurité d’applications
CHAPITRE 8 CONCLUSION
8.1 Résultats de la recherche
8.2 Éléments soutenant la crédibilité du modèle SA
8.3 Limites du modèle SA
8.4 Impacts sur l’industrie
8.4.1 Événements et constats d’adoption du modèle SA par l’industrie
8.5 Travaux futurs
ANNEXE I TABLEAUX ET FIGURES
ANNEXE II PATERNITÉ DU MODÈLE SA
ANNEXE III LISTE DES APPENDICES
BIBLIOGRAPHIE