Comprendre et appliquer la norme ISO/IEC 27034 à la sécurité des applications

Introduction

Si la Cybersécurité est depuis longtemps un sujet d’intérêt majeur pour les entreprises, la sécurité des applications en est devenue un des piliers centraux. 

Alors que les cyberattaques se multiplient, leur sophistication croît également, exploitant des vulnérabilités logicielles souvent négligées. Selon l’ANSSI, 72 % des compromissions recensées en 2023 impliquaient une faille applicative mal maîtrisée ou une configuration logicielle inadaptée. Ces vulnérabilités constituent aujourd’hui la principale porte d’entrée des intrusions dans les systèmes d’information.

Cette tendance s’accélère avec la généralisation des architectures en microservices, des déploiements cloud-native, des méthodes agiles et des cycles de développement toujours plus courts. La complexité croissante des environnements applicatifs engendre une surface d’attaque élargie, difficile à sécuriser sans approche structurée. Intégrer la sécurité dès la conception, et non en fin de projet, devient indispensable.

C’est dans cette perspective qu’Amiltone déploie son approche AppSecPod, qui vise à sécuriser les applications à toutes les étapes de leur cycle de vie, en impliquant les développeurs, les équipes sécurité, les architectes, et les responsables métier. Cette approche repose sur des normes internationales robustes et reconnues, en particulier la norme ISO/IEC 27034, spécifiquement conçue pour encadrer la sécurité des applications. Elle complète efficacement le Secure Software Development Lifecycle (SSDLC) et facilite sa mise en œuvre dans des contextes organisationnels complexes.

Par ailleurs, des certifications telles que CISSP (Certified Information Systems Security Professional) ou (Certified Cloud Security Professional) permettent de garantir que les professionnels en charge de cette sécurité disposent des compétences stratégiques et techniques nécessaires pour aligner leur pratique sur les exigences de ces normes.

Présentation de la norme ISO/IEC 27034

Objectifs généraux

Émise par l’ISO et l’IEC, la norme ISO/IEC 27034 établit un cadre méthodologique visant à incorporer la sécurité au sein des processus de développement d’applications. Elle propose une approche contextualisée, basée sur la gestion des risques, et adaptable à tout type d’environnement logiciel. Son objectif est de fournir aux organisations des lignes directrices et des concepts clés pour construire des applications sécurisées de bout en bout.

Contrairement aux normes généralistes de sécurité de l’information (comme ISO/IEC 27001), la norme 27034 se concentre exclusivement sur la couche applicative. Elle complète ainsi les démarches de cybersécurité organisationnelle en leur ajoutant une brique « sécurité logicielle ».

Structure de la norme

La norme est structurée en plusieurs parties couvrant différents niveaux d’application :

• Partie 1 – Vue d’ensemble : présente les concepts clés de la norme et la philosophie générale.
  
  
  

• Partie 2 – Organisation et cadre global (Trusted Global Framework, TGF) : définit le cadre de gouvernance et de gestion des exigences de sécurité au niveau de l’organisation.
  
  
  

• Partie 3 – Processus de gestion de la sécurité des applications (ASRM) : décrit en détail les étapes à suivre pour gérer la sécurité d’une application spécifique.
  
  
  

• Parties 4 à 7 (non toutes publiées) : prévoient des cas d’usage spécifiques (cloud, mobilité), des protocoles de contrôle, des formats standardisés et des études de cas pour illustrer l’implémentation.

Concepts clés

Plusieurs concepts fondamentaux structurent l’approche ISO/IEC 27034 :

• ASRM (Application Security Risk Management) : processus d’évaluation, de traitement et de suivi des risques de sécurité propres à une application donnée.
  
  
  

• ACF (Application Control Framework) : catalogue de contrôles de sécurité contextualisés, à sélectionner en fonction des risques et de l’architecture logicielle.
  
  
  

• TGF (Trusted Global Framework) : cadre organisationnel définissant les exigences de sécurité de l’entreprise, les niveaux de confiance et les politiques à respecter.
  
  
  

• AO (Application Owner) : responsable métier ou technique d’une application, garant de sa sécurité globale.
  
  
  

• ASC (Application Security Coordinator) : rôle pivot chargé de coordonner les équipes techniques, métiers et sécurité pour mettre en œuvre la norme.
  
  
  

Ces rôles et concepts permettent de décliner une stratégie de sécurité claire, traçable et mesurable.

Le cycle de vie sécurisé des applications (SSDLC)

Définition et principes

Le Secure Software Development Lifecycle (SSDLC) consiste à intégrer la sécurité à chaque phase du cycle de vie logiciel. Il ne s’agit plus de tester la sécurité à la fin, mais bien de l’anticiper dès l’expression des besoins, en passant par la conception, le développement, les tests, le déploiement et la maintenance.

Le SSDLC repose sur plusieurs principes : « sécurité par design », gestion du risque, vérification continue et amélioration permanente. Il s’aligne naturellement avec les pratiques DevSecOps, qui automatisent l’intégration de la sécurité dans les pipelines CI/CD.

Alignement avec ISO/IEC 27034

La norme ISO/IEC 27034 fournit le socle opérationnel du SSDLC :

• Le processus ASRM permet d’identifier et de qualifier les risques dès la phase de planification.
  
  
  

• Le cadre ACF permet de choisir les bons contrôles en fonction du risque identifié.
  
  
  

• Le TGF garantit la cohérence des pratiques à l’échelle de l’organisation.
  
  
  

En somme, ISO/IEC 27034 permet de structurer le SSDLC avec des responsabilités définies, des contrôles standardisés et un suivi formel des décisions.

Intégration de la sécurité dans les phases SSDLC

• Planification : analyse du contexte applicatif, cartographie des données sensibles, identification des exigences de sécurité (conformité, RGPD, etc.)
  
  
  

• Conception : définition d’une architecture sécurisée, élaboration des scénarios de menace (threat modeling), sélection des contrôles issus du ACF
  
  
  

• Développement : application de bonnes pratiques de codage sécurisé (OWASP), revues de code, analyse statique (SAST)
  
  
  

• Tests : tests d’intrusion, DAST (analyse dynamique), fuzzing, vérification des contrôles de sécurité
  
  
  

• Déploiement : durcissement des environnements (hardening), configuration sécurisée, monitoring
  
  
  

• Maintenance : gestion continue des vulnérabilités, patching rapide, journalisation, retour d’expérience
  
  
  

Compétences et certifications pour sécuriser les applications

Rôles clés

La mise en œuvre d’un programme de sécurité applicative fondé sur ISO/IEC 27034 nécessite la mobilisation de plusieurs rôles :

• Application Security Coordinator (ASC) : il coordonne l’ensemble des actions de sécurité, depuis les exigences jusqu’aux audits, en lien avec les développeurs et les métiers.
  
  
  

• DevSecOps : il automatise l’intégration des contrôles de sécurité dans le pipeline de livraison (linting, SAST, test de dépendances, etc.)
  
  
  

• Application Owner (AO) : il est responsable de l’arbitrage entre exigences métier et contraintes de sécurité. Il participe aux analyses de risques et valide les scénarios de traitement.
  
  
  

Mise en œuvre pratique d’ISO/IEC 27034 dans une organisation

Éléments fondamentaux

La mise en œuvre opérationnelle d’ISO/IEC 27034 repose sur :

• La définition d’un programme de sécurité applicative avec des rôles, des processus et des outils.
  
  
  

• La création d’un ACF personnalisé, adapté aux technologies et aux types d’applications internes (web, mobile, cloud, etc.)
  
  
  

• L’intégration des parties prenantes : développeurs, architectes, responsables métiers, équipes sécurité.
  
  
  

Étapes concrètes

1. Identifier et classifier les applications : selon leur criticité, les données traitées, leur exposition (interne, externe).
   
   
   

2. Construire le TGF (cadre global) : définir les niveaux de sécurité cibles, les politiques internes et les exigences légales.
   
   
   

3. Constituer un ACF : sélection des ASC applicables (authentification, journalisation, sécurité réseau, etc.) pour chaque classe d’application.
   
   
   

4. Mettre en place un processus ASRM : formaliser l’analyse des risques applicatifs, les décisions de traitement, et les audits post-déploiement.
   
   
   

5. Auditer et améliorer : organiser des revues régulières, maintenir à jour le référentiel de contrôles et capitaliser sur les retours d’incidents.
   
   
   

Conclusion

La norme ISO/IEC 27034 constitue aujourd’hui un socle solide pour structurer la sécurité applicative dans les organisations modernes. Elle répond aux enjeux de transformation numérique, de cloudification et de cybersécurité réglementaire.

En s’intégrant naturellement à un SSDLC, elle permet de renforcer les applications dès leur conception et tout au long de leur cycle de vie. Elle offre un cadre clair, adaptable, centré sur les risques réels, et outillé pour soutenir des équipes pluridisciplinaires.

Les certifications professionnelles telles que le CISSP ou le CCSP assurent par ailleurs la montée en compétence des acteurs impliqués, garantissant la mise en œuvre conforme et efficace de la norme.

Adopter ISO/IEC 27034, c’est faire le choix d’une culture de la sécurité applicative continue et structurée, au service de la résilience, de la conformité et de la confiance numérique.

-------------------------------------------------------------------------------------------

🔐 Glossaire AppSec & ISO/IEC 27034 (Définitions simplifiées)

Nous essayons d’expliquer les termes au fur et à mesure de l'article pour ne pas vous faire perdre de temps. Mais vous pourrez quand même retrouver ici en cas de doute, toutes les définitions techniques ! 

🔤 A à C

ACF – Application Control Framework

Catalogue de règles et bonnes pratiques de sécurité à appliquer à une application. C’est comme une boîte à outils personnalisée pour sécuriser un logiciel.

AO – Application Owner

Personne responsable d'une application, souvent côté métier ou technique. Il ou elle prend les décisions importantes sur les priorités et les risques liés à cette appli.

ASC – Application Security Coordinator

Personne qui fait le lien entre les développeurs, les équipes sécurité et les métiers. Son rôle est d’intégrer la sécurité tout au long du cycle de vie de l’application.

ASLC – Application Security Lifecycle

Expression du cycle de vie d’une application avec une attention particulière portée à la sécurité. C’est une déclinaison du SSDLC pour les applications.

ASRM – Application Security Risk Management

Processus pour identifier, analyser et gérer les risques de sécurité spécifiques à une application. Il aide à comprendre ce qu’il faut protéger, pourquoi et comment.

CBK – Common Body of Knowledge

Ensemble structuré des connaissances de base dans un domaine. Par exemple, le CBK du CISSP regroupe 8 grands domaines de la sécurité informatique.

CISSP – Certified Information Systems Security Professional

Certification reconnue mondialement, prouvant qu’une personne a une compréhension solide et stratégique de la sécurité de l’information dans son ensemble.

CCSP – Certified Cloud Security Professional

Certification spécialisée dans la sécurité des environnements cloud (comme AWS, Azure…). Elle complète bien la CISSP pour ceux qui travaillent dans des architectures modernes.

🔤 I à O

ISO/IEC – International Organization for Standardization / International Electrotechnical Commission

Deux organismes internationaux qui publient ensemble des normes techniques, dont l’ISO/IEC 27034 sur la sécurité des applications.

ONF – Organization Normative Framework

Il s’agit du cadre de référence de sécurité propre à une organisation. Il rassemble les politiques, normes internes, bonnes pratiques et contrôles de sécurité que l’organisation applique aux applications.

🔤 P à T

PECB – Professional Evaluation and Certification Board

Organisme international qui propose des formations et des certifications sur les normes ISO, dont ISO/IEC 27001 et ISO/IEC 27034.

SSDLC – Secure Software Development Lifecycle

Approche de développement logiciel qui intègre la sécurité à chaque étape : de la conception au déploiement. C’est comme construire une maison avec des serrures dès les plans initiaux.

TGF – Trusted Global Framework

Cadre général de sécurité défini par l’organisation. Il sert de référence commune pour toutes les applications : un socle commun de sécurité.

TLT – Threat, Likelihood, and Technical Impact

Méthodologie d’analyse des risques basée sur trois critères : la menace, la probabilité qu’elle se produise, et son impact technique. Permet de prioriser les mesures de protection.

🧩 Autres termes utiles dans l’AppSec (non limités à ISO/IEC 27034)

DAST – Dynamic Application Security Testing

Test de sécurité effectué sur une application en fonctionnement (comme un test de pénétration automatisé sur un site web).

DevSecOps

Façon de travailler où le développement, la sécurité et les opérations sont intégrés ensemble dès le départ. La sécurité fait partie du processus de développement continu.

OWASP – Open Worldwide Application Security Project

Organisation qui publie des ressources ouvertes sur la sécurité des applications, notamment le célèbre "Top 10" des vulnérabilités.

SAST – Static Application Security Testing

Analyse de la sécurité du code source d’une application sans l’exécuter. Un peu comme une relecture automatisée pour détecter les erreurs de sécurité.

Fuzzing

Technique de test qui envoie des données aléatoires à une application pour voir si elle réagit mal (plante, fuite d’info…). Utile pour détecter des failles imprévues.

Hardening

Ensemble des actions pour sécuriser un système ou une application (désactivation de fonctions inutiles, configuration stricte, etc.).