Solutions pour votre industrie

 

Produit de sécurité du logiciel

TELUS offre aux fournisseurs de produits de sécurité, aux entreprises de développement de logiciels, aux fournisseurs et impartiteurs de services gérés et aux clients d’affaires un service de mise à l’essai de la sécurité, des services d’évaluation et une méthodologie complète de sécurité du logiciel pour le développement sécuritaire de logiciels.

S’appuyant sur l’expérience acquise lors de projets antérieurs, les normes ISO et NIST, les capacités uniques de recherche de points vulnérables de TELUS et la gestion de la qualité rigoureuse fondée sur Six Sigma, TELUS a mis au point des méthodes et des outils exclusifs à la fine pointe de l’industrie pour le développement et l’évaluation de la sécurité du logiciel. Cette approche dirigée permet à TELUS d’offrir un niveau supérieur de prévisibilité et d’assurance, tout en réduisant au maximum ou en éliminant les effets secondaires indésirables.

TELUS a une équipe spécialisée en sécurité des applications qui compte plus de dix ans d’expérience. Cette équipe est une de plus anciennes et des plus reconnues en Amérique du Nord et possède une expérience approfondie des applications à grande échelle dans les secteurs des services publics, des télécommunications et des services financiers. En outre, l’équipe spécialisée de chercheurs et d’ingénieurs de TELUS lui procure une compréhension approfondie des nouvelles failles de sécurité des semaines ou des mois avant les équipes de sécurité ordinaires. De plus, l’équipe développe continuellement de nouveaux outils et techniques d’essai.

Les services offerts par l’équipe sécurité logicielle de TELUS comprennent :

Un cadre flexible et modulaire pour améliorer et développer des logiciels sécurisés

Les systèmes logiciels sont aujourd’hui confrontés à un risque de sécurité beaucoup plus élevé qu’ils ne l’étaient dans le passé.  Face à l’évolution des mesures de protection des réseaux, les intrus ont réorienté leurs efforts pour s’attaquer directement aux logiciels et aux micrologiciels.

En dépit des méthodologies de développement de pointe, on développe la plupart des logiciels en s’appuyant sur des pratiques et des normes qui ne sont pas conçues précisément pour satisfaire à ces exigences de sécurité accrues.  Par conséquent, le nombre de failles de sécurité dans les produits logiciels et dans les systèmes intégrés augmente rapidement.  En général, les développeurs de logiciels et leurs gestionnaires n’ont pas reçu une formation générale en ce qui concerne l’architecture logicielle sécurisée, les pratiques de mise en œuvre de logiciels sécurisée, la mise à l’essai de la sécurité logicielle ou tout autre processus critique pour la sécurité à chaque étape du cycle de développement de logiciels.  Tenter de se hisser à un niveau élevé de capacité en développement sécuritaire de logiciels est ardu et chronophage.

En outre, les risques de sécurité liés aux logiciels et aux applications ont des répercussions directes sur la conformité avec les cadres législatifs et réglementaires, y compris la loi Sarbanes-Oxley, le projet de loi 198 et les normes NERC et PCI, tout en représentant un risque immédiat potentiel pour l’entreprise.

Par l’entremise de la méthodologie de développement sécuritaire, TELUS offre une propriété intellectuelle donnant lieu à une licence, la formation des développeurs et des services de consultation qui accélèrent considérablement l’adoption par l’entreprise de développement de logiciels des meilleures pratiques pour le développement sécuritaire, à toutes les étapes du cycle de développement des logiciels.  L’implantation de la méthodologie de développement sécuritaire de TELUS aide les organisations à améliorer la sécurité des produits, à diminuer les défauts de sécurité des produits et les coûts de développement et à accélérer la mise en œuvre.

Caractéristiques et avantages principaux

  • Plus de 50 documents de propriété intellectuelle donnant droit à une licence, y compris des normes, des pratiques et des processus de développement sécuritaire et du matériel de formation.
  • Les documents peuvent être homologués sous forme de série complète ou dans un ou plusieurs des modules suivants :
    • Module de saisie des exigences en matière de sécurité et des processus de spécification
    • Module des processus liés aux architectures logicielles sécurisées
    • Module des pratiques de mise en œuvre sécurisée
    • Module des pratiques de contrôle par les pairs et de mise à l’essai de la sécurité 
    • Module des pratiques de déploiement sécurisé, de maintenance et de gestion des incidents 
  • Formation
  • Services de consultation

Évaluation des caractéristiques de sécurité des systèmes logiciels à l’étape de la conception et de la mise en œuvre

En dépit des méthodologies de développement de pointe, on développe la plupart des logiciels en s’appuyant sur des pratiques et des normes qui ne sont pas conçues précisément pour satisfaire à des exigences de sécurité accrues.  Par conséquent, les logiciels sont développés avec un code exploitable qui est exposé au piratage.

Davantage d’information est diffusée sur la façon de lancer des attaques au niveau du logiciel qui pourraient compromettre l’intégrité, l’accessibilité et la confidentialité de l’information. L’OWASP a répertorié plus de cent méthodes d’attaque des applications. En outre, les organisations peuvent avoir plusieurs applications en place, et le fait de détecter et d’éliminer les failles de sécurité au niveau du code source s’est avéré coûteux et chronophage, augmentant le risque que des problèmes latents ne soient pas détectés.

La sécurité des logiciels est un défi posé à l’ensemble de l’industrie.  En général, les développeurs de logiciels et leurs gestionnaires n’ont pas reçu une formation générale en ce qui concerne l’architecture logicielle sécurisée, les pratiques de mise en œuvre de logiciels sécurisée, la mise à l’essai de la sécurité logicielle ou tout autre processus critique pour la sécurité à chaque étape du cycle de développement de logiciels.  Par ailleurs, les processus d’assurance de la qualité et de vérification ne détectent pas nécessairement les failles de sécurité latentes et complexes au niveau du code du logiciel.

Les risques de sécurité liés aux logiciels et aux applications ont des répercussions directes sur la conformité avec les cadres législatifs et réglementaires, y compris la loi Sarbanes-Oxley, le projet de loi 198 et les normes NERC et PCI, tout en représentant un risque immédiat potentiel pour l’entreprise.

Le service de vérification du code source de TELUS évalue la sécurité du code source du logiciel afin de détecter les problèmes et les points vulnérables qui pourraient compromettre la confidentialité, l’accessibilité et l’intégrité de l’information et des systèmes.

Avantages clés

Les examens de l’architecture de sécurité du logiciel et du code source de TELUS vous aident à atteindre les objectifs suivants :

  • Code de logiciel qui résiste aux failles de sécurité connues et nouvelles 
  • Logiciel qui protège la confidentialité des renseignements du client
  • Développeurs formés en détection et en correction des failles de sécurité du code, diminuant les coûts et le temps
  • Logiciel conforme aux exigences internes et externes

De plus, vous aurez accès à de l’expertise unique :

  • Experts en sécurité qui sont les principaux fournisseurs des données incluses dans les outils de sécurité commercialisés.
  • Équipe de recherche qui gère les produits de quatre des six principaux fournisseurs de sécurité de réseau et de plus de vingt fournisseurs de produits de sécurité.
  • Experts en sécurité qui ont participé à des projets complexes en sécurité de logiciel pour des fournisseurs de produits de sécurité logicielle, des fournisseurs de systèmes financiers et des fabricants de hautes technologies.
  • Praticiens très expérimentés en sécurité logicielle qui ont développé des instruments de mise à l’essai de la sécurité du logiciel.

Hautement évolutive et économique.

Des essais qui comprennent des techniques prêtes à l’utilisation pour assurer la protection optimale

La sécurité des logiciels est un défi posé à l’ensemble de l’industrie. Les applications Web sont aujourd’hui confrontées à un risque de sécurité beaucoup plus élevé qu’elles ne l’étaient dans le passé. Face à l’évolution des mesures de protection des réseaux, les intrus ont réorienté leurs efforts pour s’attaquer directement aux logiciels et aux micrologiciels.

En dépit des méthodologies de développement de pointe, on développe la plupart des logiciels en s’appuyant sur des pratiques et des normes qui ne sont pas conçues précisément pour satisfaire à ces exigences de sécurité accrues.  Par conséquent, le nombre de failles de sécurité dans les applications Web augmente rapidement.  Selon l’OWASP, plus de cent méthodes compromettent actuellement la sécurité des applications Web.  

De plus en plus, les clients exigent que les applications Web résistent aux menaces et aux failles de sécurité qui compromettent leur vie privée et leur identité.

En outre, les risques de sécurité liés aux logiciels et aux applications ont des répercussions directes sur la conformité avec les cadres législatifs et réglementaires, y compris la loi Sarbanes-Oxley, le projet de loi 198 et les normes NERC et PCI, tout en représentant un risque immédiat potentiel pour l’entreprise.

La mise à l’essai des applications Web de TELUS utilise des outils logiciels et des essais manuels spéciaux pour détecter les failles de sécurité dans le code de l’application Web et offre des recommandations techniques pour corriger le code. La mise à l’essai couvre non seulement les méthodes d’attaques de l’OWASP, mais plusieurs centaines de vulnérabilités différentes, dont les méthodes de l’OWASP représentent une sous-série.

Avantages clés

La mise à l’essai de l’application Web de TELUS vous aide à atteindre les objectifs suivants :

  • Applications Web qui résistent aux méthodes d’attaque connues et nouvelles
  • Applications Web qui protègent les transactions électroniques et la confidentialité des renseignements des clients
  • Développeurs formés en détection et en correction des failles de sécurité du code, diminuant les coûts et le temps
  • Applications Web conformes aux exigences internes et externes

De plus, vous aurez accès à de l’expertise unique :

  • Experts en sécurité qui sont les principaux fournisseurs des données incluses dans les outils de sécurité commercialisés.
  • Équipe de recherche qui gère les produits de quatre des six principaux fournisseurs de sécurité de réseau et de plus de vingt fournisseurs de produits de sécurité.
  • Experts en sécurité qui ont participé à des projets complexes en sécurité de logiciel pour des fournisseurs de produits de sécurité logicielle, des fournisseurs de systèmes financiers et des fabricants de hautes technologies.
  • Praticiens très expérimentés en sécurité logicielle qui ont développé des instruments de mise à l’essai de la sécurité du logiciel.

Envoyer à un collègue? Cette page vous a-t-elle été utile?

Pour plus d'information ou pour commander

 Communiquez avec votre directeur de compte, envoyez une demande en ligne ou composez le 1 877 520-1212

Pour nous joindre

 Pour obtenir plus d'information sur toutes nos solutions d'affaires cliquez ici