Phylapp
Sécurité des développements et applications

Comment structurer une gouvernance de la sécurité applicative

La gouvernance de la sécurité applicative s'articule autour d'un Application Security Program formalisé, d'une évaluation de maturité (BSIMM, OWASP SAMM) et d'une approche risk-based pour le portefeuille legacy.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • La gouvernance de la sécurité applicative définit qui décide quoi, avec quels critères, et comment les décisions sont documentées et suivies.
  • Un Application Security Program (ASP) formalise les standards, les processus, les outils et les métriques qui constituent le cadre de la sécurité applicative.
  • Le modèle BSIMM (Building Security In Maturity Model) et l'OWASP SAMM (Software Assurance Maturity Model) sont des référentiels d'évaluation et de progression de la maturité de la sécurité applicative.
  • La gouvernance applicative doit couvrir l'ensemble du portefeuille — nouvelles applications et applications legacy — avec une approche risk-based pour prioriser les investissements.
Cas US T-Mobile (2021-2023) — Les incidents répétés de T-Mobile sur cette période ont conduit les régulateurs (FCC) à imposer un plan d'amélioration de la gouvernance de sécurité applicative comme condition des règlements. Ce plan incluait la mise en place d'un Application Security Program formalisé avec des métriques de suivi et des rapports réguliers aux régulateurs — une gouvernance applicative imposée de l'extérieur faute d'avoir été construite en interne.

Les composantes d'un Application Security Program

Un Application Security Program (ASP) est le cadre de gouvernance qui structure l'ensemble des activités de sécurité applicative d'une organisation. Ses composantes incluent : une politique de sécurité applicative qui définit les standards et les exigences minimales pour toutes les applications ; un catalogue d'outils approuvés (scanners SAST/DAST, frameworks de tests, gestionnaires de secrets) avec les configurations recommandées ; des processus formalisés pour chaque activité de sécurité (threat modeling, revues de code, gestion des vulnérabilités, tests d'intrusion) ; des métriques de suivi de la maturité ; et un processus de gouvernance des exceptions (comment documenter et gérer les dérogations aux standards).

L'ASP doit être proportionné à la taille et à la complexité de l'organisation — un document de 200 pages que personne ne lit n'a pas de valeur opérationnelle. Un référentiel de standards clair, concis et accessible dans les outils de travail quotidiens des développeurs est plus efficace.

L'évaluation de la maturité : BSIMM et OWASP SAMM

Le BSIMM (Building Security In Maturity Model) est un référentiel empirique construit à partir de l'observation des pratiques de sécurité applicative de centaines d'organisations. Il décrit les activités pratiquées par les organisations matures dans 12 domaines regroupés en quatre catégories (Governance, Intelligence, SSDL Touchpoints, Deployment). L'OWASP SAMM (Software Assurance Maturity Model) offre un modèle similaire avec une approche prescriptive — il définit des niveaux de maturité progressifs pour chaque domaine et fournit des activités de transition.

Ces référentiels sont utiles à deux moments : pour diagnostiquer l'état actuel de la maturité de la sécurité applicative d'une organisation (par rapport aux pratiques sectorielles), et pour planifier une roadmap de progression avec des priorités et des séquences logiques. Ils permettent de répondre à la question "où investir en priorité pour améliorer notre sécurité applicative" avec une base factuelle.

La gouvernance du portefeuille applicatif

La gouvernance de la sécurité applicative doit couvrir l'ensemble du portefeuille d'applications — pas seulement les nouvelles applications développées avec les standards les plus récents. La gestion du portefeuille legacy est souvent la partie la plus complexe : des applications anciennes avec une documentation incomplète, dont les équipes originales ont souvent quitté l'organisation, avec des technologies obsolètes difficiles à auditer et à corriger.

Une approche risk-based permet de prioriser les investissements : identifier les applications legacy les plus critiques (volumétrie de données sensibles, exposition internet, intégration avec des systèmes critiques), évaluer leur niveau de sécurité actuel (scan de vulnérabilités, revue d'architecture), et définir un plan de traitement proportionné — mise à niveau, isolation, migration vers un système moderne, ou décommissionnement.

Cas EU Marriott/Starwood (2018) — L'absence de gouvernance de la sécurité applicative dans le patrimoine hérité de Starwood lors de son acquisition par Marriott a conduit à une période de 4 ans pendant laquelle des applications compromises continuaient d'opérer sans détection. Une gouvernance du portefeuille applicatif lors de l'acquisition — incluant un audit de sécurité des applications héritées — aurait pu identifier et traiter la compromission bien avant la découverte.

Intégrer la gouvernance dans les processus décisionnels

La gouvernance de la sécurité applicative n'est efficace que si elle est intégrée dans les processus décisionnels existants — pas si elle est un processus parallèle que les projets contournent. Cela implique que les revues de sécurité architecturale soient des étapes obligatoires dans les processus de validation de projet, que les métriques de sécurité applicative soient présentées aux instances de gouvernance existantes (comité de direction, comité IT, comité des risques), et que les décisions d'exception aux standards soient documentées et approuvées par des responsables désignés.

Cette intégration transforme la sécurité applicative d'une fonction de contrôle externe en une dimension naturelle des processus de développement et de déploiement — ce qui est la condition de son efficacité durable.

Cas Asie SingHealth (2018) — Le rapport de la commission d'enquête a recommandé la mise en place d'une gouvernance de la sécurité applicative formalisée pour le système de santé singapourien, avec des standards, des processus de revue, et des métriques de suivi présentées régulièrement aux instances de direction. L'absence de cette gouvernance avait contribué à l'accumulation silencieuse de vulnérabilités dans les applications du système de santé.

Articles similaires

Les applications deviennent la première surface d’exposition des organisations

Les applications web, mobiles et les APIs représentent la première surface d'attaque. La dette technique des applications legacy, la prolifération des APIs et l'absence de sécurité dans le cycle de vie applicatif constituent les vulnérabilités structurelles.

24 mai 2026 7 min

Pourquoi la sécurité doit être intégrée dès la conception des logiciels

Le coût de correction d'une vulnérabilité croît de 1 à 100 entre conception et production. La modélisation des menaces et la formalisation des exigences de sécurité dès la spécification sont les fondements du secure by design.

24 mai 2026 7 min

Les erreurs fréquentes dans le développement des applications internes

Les applications internes sont sous-sécurisées malgré leurs données sensibles. Injection SQL, absence de contrôle au niveau objet, secrets dans le code et shadow development sont les erreurs structurelles les plus fréquentes.

24 mai 2026 7 min
WhatsApp