SPLC (Adobe Secure Product Lifecycle)
Toutes les mesures de sécurité prises par Adobe reposent sur le programme Secure Product Lifecycle (SPLC). Celui-ci est intégré à plusieurs étapes du cycle de vie du produit, de la conception au déploiement en passant par le développement, les tests et l’assurance qualité. Regroupant plusieurs centaines d’activités de sécurité liées aux pratiques, aux processus et aux outils de développement applicatif, Adobe SPLC a mis en place des processus clairs et reproductibles pour aider les équipes de développement à intégrer la sécurité aux produits et aux services. De plus, le programme évolue constamment afin d’intégrer les bonnes pratiques les plus récentes du secteur. Les équipes de recherche en sécurité d’Adobe fournissent des conseils complets sur l’utilisation du processus SPLC pour nos produits et nos services en se basant sur une évaluation des risques potentiels de sécurité. Bénéficiant, en outre, du soutien permanent de la communauté, Adobe SPLC évolue au rythme des dernières tendances en matière de technologies, de pratiques de sécurité et de menaces.
SPLC s’articule autour de quatre domaines clés reflétant l’intégralité du cycle de vie opérationnel des applications et des services Adobe : conception, développement, déploiement et exploitation. Les contrôles SPLC incluent, entre autres, des roadmaps de services, des outils de sécurité et des méthodes de test qui guident l’équipe en charge de la sécurité dans la résolution des 10 principales failles de sécurité applicative recensées par l’OWASP (Open Web Application Security Project) et des 25 principales erreurs de programmation répertoriées dans le rapport CWE/SANS.
Conception sécurisée
La méthodologie de sécurité dès la conception d’Adobe garantit que les exigences de sécurité sont définies le plus tôt possible dans le processus de développement d’applications. Nos équipes de sécurité et de développement adoptent une approche de type « shift-left » en matière de conception sécurisée. Celle-ci met l’accent sur la correction des problèmes à un stade précoce. Cette stratégie permet d’intégrer les contrôles de sécurité dès le départ et de réduire les coûts potentiels liés aux modifications ultérieures. Pour en savoir plus, consultez notre article technique de présentation de la sécurité applicative d’Adobe.
Développement sécurisé
Pendant le cycle de développement, Adobe utilise des outils automatisés pour s’assurer que ses applications respectent ses politiques et contrôles de sécurité définis. Cette approche garantit la sécurité tout au long du cycle de développement. Elle permet également à la sécurité des produits de mieux s’adapter à l’échelle de l’entreprise et d’offrir une couverture de sécurité continue pour suivre le rythme des innovations. Pour en savoir plus, consultez notre article technique de présentation de la sécurité applicative d’Adobe.
Opérations sécurisées
Notre stratégie, qui englobe les clouds publics et privés de différents fournisseurs, exige que nos équipes en charge des produits et des services aient accès à des garde-fous cohérents et reproductibles. De plus, notre centre de cyberdéfense et nos équipes Product Security Incident Response Team (PSIRT) surveillent et gèrent en permanence les menaces émergentes, tout en développant et en tenant à jour de solides programmes de renseignement sur les menaces. Ils s’assurent également que les incidents signalés au sujet de nos solutions soient résolus conformément aux politiques et aux normes établies. Pour en savoir plus, consultez notre article technique de présentation de la sécurité opérationnelle et notre article technique de présentation de la résolution des incidents.
Formation continue et certification
Adobe a instauré une culture de la sécurité à tous les niveaux de l’entreprise, à commencer par des activités et des formations régulières de sensibilisation à la sécurité destinées à l’ensemble du personnel. Les équipes en charge de l’ingénierie et des opérations bénéficient de formations et de certifications supplémentaires, spécifiques à leur poste et/ou à leur fonction, qui les aident à s’informer, à s’adapter et à être en mesure d’intervenir en cas d’incident. Adobe s’efforce également de collaborer avec d’autres entreprises pour partager les bonnes pratiques et les stratégies visant à définir et à mettre en place une solide culture de la sécurité.
