Le SANS présente son Top 25 des erreurs de développement les plus communes. Le document demeure fidèle à la tradition : établir la liste des failles applicatives les plus communes. Celles qui, à elles seules, sont responsables de la très grande majorité des attaques réussies.

Mais l’organisme va plus loin. Avec le Mitre et la contribution de l’OWASP ainsi que plusieurs éditeurs (Microsoft, Apple, EMC, Oracle, McAfee et Symantec), le SANS tente de formaliser un modèle de contrat qui obligerait les développeurs à garantir que leur code est à minima exempt de ces vingt-cinq erreurs types et que leurs ingénieurs sont formés aux techniques de développement sécurisé. Et accessoirement à s’engager à fournir dans les meilleurs délais un correctif lorsqu’une vulnérabilité est annoncée, après l’avoir correctement testé.

Certes, les implications de ce dernier point sont telles qu’il faudra probablement encore de nombreuses discussions (et beaucoup de lobbying de toutes parts !) avant qu’il n’en sorte quelque chose d’utile : qu’est-ce une vulnérabilité ? Qu’est-ce qu’un « meilleur délai » ? Commence-t-il à partir de la découverte de la vulnérabilité ou sa divulgation publique ?. Il n’est pas certain que tout le monde parvienne à s’entendre sur le sujet !

En revanche sur le front de l’obligation de fournir une garantie que le code est exempt des 25 erreurs de programmation les plus communes, et que ses créateurs sont correctement formés, l’approche a certainement du sens et gagnerait à être généralisée.

Nous ne saurions d’ailleurs assez recommander d’inclure une telle clause aux appels d’offres de développement à façon réalisé pour le compte de votre entreprise.

Pour mémoire, l’OWASP a déjà entamé un travail similaire , sur lequel s’appuie d’ailleurs le SANS.