Skip to content

Comment intégreriez-vous la gouvernance de la sécurité dans le SDLC plutôt que de l'ajouter à la fin ?

Réponse courte

Intégrez la sécurité à chaque phase du SDLC plutôt que de tester à la fin : les exigences incluent des exigences de sécurité et de confidentialité, la conception inclut la modélisation des menaces, le développement suit des normes de codage sécurisé avec SAST, les tests ajoutent DAST et des revues, et la mise en production nécessite une validation — le tout gouverné par la politique, la séparation des tâches et la gestion des changements. Corriger les failles tôt coûte nettement moins cher qu'après la mise en production.

Cette question se situe à l'intersection des domaines de la sécurité du développement logiciel et de la gouvernance. Les recruteurs veulent voir que vous traitez la sécurité comme une activité de cycle de vie gérée, et non comme un point de contrôle ponctuel, et que vous savez la formuler en termes métier et de processus.

La sécurité à chaque phase

La gouvernance signifie une activité de sécurité définie et un point de contrôle à chaque étape du SDLC :

  • Exigences — capturer des exigences explicites de sécurité et de confidentialité aux côtés des exigences fonctionnelles (authentification, traitement des données, besoins réglementaires).
  • Conception — réaliser la modélisation des menaces (par exemple STRIDE) pour trouver les failles architecturales avant qu'aucun code n'existe, lorsqu'elles sont les moins coûteuses à corriger.
  • Développement — imposer des normes de codage sécurisé et exécuter du SAST dans le pipeline.
  • Tests — ajouter du DAST, l'analyse des dépendances et une revue de code axée sur la sécurité.
  • Déploiement — exiger une validation de sécurité et vérifier une configuration durcie.
  • Exploitation / maintenance — corriger, surveiller et réinjecter les conclusions dans les exigences.

Pourquoi le shift left est rentable

L'argument économique est central : le coût de correction d'une faille augmente fortement plus elle est découverte tard. Une faille de conception détectée lors de la modélisation des menaces coûte une conversation ; la même faille détectée en production peut signifier un incident, des correctifs d'urgence et une atteinte à la réputation. Le « shift left » est la gouvernance qui optimise conjointement coût et risque.

Les contrôles de gouvernance autour du SDLC

La discipline de processus compte autant que l'outillage : la séparation des tâches afin que la personne qui écrit le code ne le pousse pas unilatéralement en production, la gestion des changements afin que les mises en production soient revues et réversibles, et la gestion de la configuration afin que les environnements soient connus et cohérents. Ces contrôles préviennent à la fois les erreurs honnêtes et l'insertion malveillante.

Ce que recherchent les recruteurs

Une cartographie phase par phase des activités de sécurité avec la modélisation des menaces placée en conception, l'argument coût du shift left, et les enveloppes de gouvernance — séparation des tâches, gestion des changements et de la configuration — qui rendent le développement sécurisé reproductible plutôt que dépendant d'exploits individuels.

Questions de suivi probables

  • Qu'est-ce que la modélisation des menaces et à quelle phase appartient-elle ?
  • Pourquoi la séparation des tâches importe-t-elle entre les développeurs et le déploiement en production ?
  • Comment la gestion des changements et la gestion de la configuration soutiennent-elles des mises en production sécurisées ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.