Conception & modélisation des menaces (SOCLE APP)

La famille Conception & modélisation des menaces porte la conviction la plus rentable de toute la sécurité applicative : il est moins coûteux de prévenir une faille que de la corriger. Elle déplace l'effort en amont du code, au moment où l'on décide de l'architecture et des fonctionnalités, là où une décision change encore tout sans rien casser.

Cette famille travaille sur l'intention avant l'implémentation. Elle demande d'adopter un référentiel reconnu, de modéliser les menaces des points sensibles, de revoir l'architecture avant les grandes évolutions, et au plus haut niveau de dériver des exigences vérifiables d'un modèle de menace formel. C'est le travail le moins visible du domaine, et souvent le plus déterminant.

Concrètement, ces exigences parent : la faille structurelle introduite par une évolution non revue, les angles morts d'une protection au hasard sans modèle de menace, et l'attaque sur les flux les plus sensibles (authentification, paiement, données personnelles). Quatre exigences, des fondamentales (R1) aux souveraines (R3).

L'enjeu

Une faille de conception coûte bien plus cher corrigée tard que prévenue tôt.

Les pièges à éviter

Les erreurs les plus fréquentes sur ce périmètre :

fonctionnalités sensibles non analysées

architecture non revue

exigences de sécurité implicites

Exigences

Comment lire R1R2R3du fondamental au souverain Doitobligatoire Devraitrecommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.

Afficher R1 R1 + R2 R1 + R2 + R3

SOCLE-APP-DSN-1 R1 Doit

référentiel de sécurité applicative (OWASP ASVS) adopté et adapté à la criticité.#

Définir « sécurisé » au cas par cas mène à des trous incohérents. Adopter l'OWASP ASVS comme référentiel, adapté à la criticité, donne une liste d'exigences éprouvée et un niveau cible mesurable : on sait ce qu'on doit vérifier et jusqu'où, au lieu d'improviser des critères maison.

Preuve attendue

Niveau ASVS cible déclaré par application.

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

OWASP ASVS v5.0.0 OWASP SAMM

Menaces parées

Une entrée non validée est interprétée comme du code ou une requête (SQL, commande, XSS, LDAP), permettant l'exécution ou l'accès non autorisé. C'est la classe de failles applicatives la plus répandue (OWASP Top 10 2025, A03) OWASP Top 10 2025 (A03 Injection) OWASP ASVS OWASP CICD-SEC.

SOCLE-APP-DSN-2 R2 Doit

modélisation des menaces documentée pour authentification, paiement et données personnelles.#

L'authentification, le paiement et les données personnelles concentrent l'intérêt des attaquants et l'exposition réglementaire. Documenter leur modèle de menace force à expliciter les attaques plausibles et les contre-mesures sur ces flux, là où une faille a les conséquences les plus lourdes.

Preuve attendue

Diagrammes de flux et menaces identifiées pour ces fonctions.

Correspondances & menaces parées 3 standards · 2 menaces

Correspondance

Microsoft SDL OWASP SAMM SSDF PW.1

Menaces parées

Une faille de conception ou de logique métier (contrôles manquants, hypothèses erronées) passe inaperçue faute de modélisation des menaces et de revue de sécurité. Aucun scanner ne la détecte : elle relève de la conception (Microsoft SDL, OWASP SAMM) Microsoft SDL OWASP SAMM OWASP ASVS. Un contrôle d'accès incomplet ou contournable laisse un utilisateur accéder à des données ou actions non autorisées (élévation horizontale ou verticale). C'est la première catégorie du Top 10 OWASP 2025 (A01) OWASP Top 10 2025 (A01) OWASP ASVS.

SOCLE-APP-DSN-3 R2 Devrait

revue d'architecture de sécurité avant les évolutions majeures.#

Une évolution majeure introduit souvent des failles structurelles qu'aucun scan de code ne verra. Une revue d'architecture de sécurité en amont examine flux et frontières de confiance avant l'implémentation, quand un changement de conception coûte encore une discussion, pas une refonte.

Preuve attendue

Compte rendu de revue d'architecture de sécurité.

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

OWASP SAMM SSDF PW.2

Menaces parées

Une faille de conception ou de logique métier (contrôles manquants, hypothèses erronées) passe inaperçue faute de modélisation des menaces et de revue de sécurité. Aucun scanner ne la détecte : elle relève de la conception (Microsoft SDL, OWASP SAMM) Microsoft SDL OWASP SAMM OWASP ASVS.

SOCLE-APP-DSN-4 R3 Doit

exigences de sécurité dérivées d'un modèle de menace formel et vérifiées en fin de cycle.#

Au plus haut niveau, la sécurité ne se déclare pas, elle se démontre. Dériver les exigences d'un modèle de menace formel et les vérifier en fin de cycle crée une boucle traçable : chaque menace identifiée a une exigence, chaque exigence une preuve de couverture.

Preuve attendue

Traçabilité exigence vers menace vers test.

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

SSDF PW.1 OWASP ASVS v5.0.0

Menaces parées

Une faille de conception ou de logique métier (contrôles manquants, hypothèses erronées) passe inaperçue faute de modélisation des menaces et de revue de sécurité. Aucun scanner ne la détecte : elle relève de la conception (Microsoft SDL, OWASP SAMM) Microsoft SDL OWASP SAMM OWASP ASVS.

Prochaines étapes

Suivant : Codage sûrFamille suivante du domaine

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →