La première soirée française de l’OWASP a été l’occasion d’une présentation du modèle Open SAMM (Software Assurance Maturity Model), destiné à aider les entreprises à améliorer la sécurité tout au long de leur processus de développement et de mise en production.

Cousin éloigné du SDLC , mais se voulant destiné à des entreprises de taille plus modeste, l’objectif du modèle SAMM est d’engager en douceur l’entreprise qui l’adopte sur la voie du développement sécurisé et de lui offrir un framework qui puisse être déployé de manière progressive et modulaire, sans remettre en question trop brutalement ses méthodes.

Le modèle s’appuie sur quatre grands domaines (Gouvernance, Construction, Verification, Déploiement) placés sur une matrice dont les entrées correspondent au cycle de vie idéal du projet : Initier, Définir, Concevoir, Développer, Tester, Mettre en oeuvre, Exploiter).

Chaque intersection de cette matrice peut prendre trois niveaux de maturité, chacun impliquant des contrôles et des objectifs différents.

L’entreprise peut ainsi se positionner à tout moment, et se fixer des objectifs de manière particulièrement granulaire.