Le DISA (Agence américaine chargée de la gestion des systèmes d'information de la défense) a déclassé un protocole complet destiné à standardiser les activités d'audit de sécurité sur les logiciels acquis ou développés au sein du département de la défense.


129 points de contrôle

Le document comporte 129 points de contrôle documentés (critères fail/pass) et classifiés (CAT x) ainsi que des instructions de guidance pour la tenue de l'audit de sécurité.

L'on notera la référence à différents projets de l'OWASP, tels que :

Le principal défaut de ce protocole est à mon avis son manque de catégories d'évaluation, par opposition au guide d'évaluation proposé par l'OWASP (Application Security Verification Standard). Toutefois, l'approche choisie par le DISA facilite grandement la mise en oeuvre rapide de l'audit sans s'entourer de processus lourds.

Une ressource très utile, à l'intention des auditeurs souhaitant utiliser des référentiels officiellement supportés par des programmes publics (américains, précisons-le).

Le document est en libre accès et téléchargeable sur iase.disa.mil.