Prendre rendez-vous
Application Security · Secure SDLC

Une sécurité intégrée — et non rapportée.

Nous accompagnons votre logiciel du premier Threat Model jusqu'à la release signée. Avec STRIDE, OWASP, ISO/IEC 27034, SLSA — et un mapping vers CRA, NIS2, DORA et EU AI Act. L'Application Security comme discipline d'ingénierie, et non comme théâtre d'audit.

Frameworks & standards dans notre travail quotidien
STRIDEMAESTROOWASP ASVSOWASP MASVSOWASP AISVSISO/IEC 27034IEC 62443SLSANIST SSDF
01 / LE PROBLÈME

L'Application Security n'échoue pas à cause des outils. Mais du timing.

Dans la plupart des organisations, la sécurité n'intervient qu'à la toute fin — comme un videur posté à l'entrée de la release. Résultat : des retours coûteux, des développeurs frustrés, une conformité lacunaire. Trois schémas structurels reviennent sans cesse.

La sécurité comme videur

Pen-test seulement juste avant le go-live. Les constats arrivent des semaines après le merge. Les correctifs deviennent des hotfixes. Plus personne ne veut soulever de sujet de sécurité, car cela retarde la release.

Responsabilité éclatée

Dev, AppSec, conformité, audit, juridique — quatre langages, quatre outils, quatre fichiers Excel. Chaque groupe en connaît une partie, personne ne voit l'ensemble. Quiconque veut une vision cohérente de la sécurité d'un produit doit la construire à la main.

Conformité sans preuves

Les SBOM sont créés manuellement. Les Threat Models vivent dans un Confluence de 2022. Les audits se transforment en exercice d'archéologie. Avec CRA, NIS2, DORA et EU AI Act, cela ne suffira plus d'ici 24 mois.

0
SSDLC-Phasen
Plan · Design · Code · Build · Test · Deploy · Run

« Un logiciel sécurisé n'est pas un résultat d'audit. C'est une discipline de développement — qu'il faut intégrer avant même le premier commit. »

02 / NOTRE APPROCHE

La sécurité à chaque phase. Pas seulement dans une.

Le Secure Software Development Lifecycle (SSDLC) n'est pas une pipeline supplémentaire — c'est la bonne pipeline. Nous ancrons les activités de sécurité dans les sept phases, avec des artefacts et des gates clairement définis.

PHASE 01 — PLAN

Security Requirements Engineering

Analyse du besoin de protection, exigences réglementaires, use cases et misuse cases. Les objectifs de sécurité et de protection des données sont inscrits dans les exigences au même rang que les objectifs métier — et non en annexe.

Asset ModelingMisuse CasesPrivacy by Design
PHASE 02 — DESIGN

Threat Modeling — STRIDE & MAESTRO

Nous modélisons les menaces avant que la première ligne de code ne soit écrite. STRIDE pour les systèmes classiques, MAESTRO pour les composants d'IA. Résultat : des mitigations priorisées, des décisions de conception documentées, un Threat Register prêt pour l'audit.

STRIDEMAESTRODFDsTrust Boundaries
PHASE 03 — CODE

Secure Coding & Developer Enablement

Coding guidelines, defaults sécurisés, templates de pull request avec contrôles de sécurité. Des formations hands-on que les développeurs suivent réellement. Pair reviews avec l'AppSec pour les chemins critiques. La sécurité devient partie intégrante de la culture d'ingénierie.

Secure Coding GuidesPR TemplatesDev Training
PHASE 04 — BUILD

SAST · SCA · Secret Scanning

Analyse statique de code, software composition analysis et secret scanning comme gates bloquants dans chaque pipeline. Les constats sont priorisés et contextualisés — pas de rapports de 5 000 findings, mais des backlogs maîtrisables.

SASTSCASecret DetectionIaC Scan
PHASE 05 — TEST

Tests d'intrusion & DAST

Pen-tests structurés selon OWASP ASVS, MASVS et ISVS. Dynamic Application Security Testing en staging, avec une sélection des tests pilotée par ML. Les enseignements sont réinjectés dans le Threat Model et les Secure Coding Guides.

OWASP ASVSOWASP MASVSDASTFuzzing
PHASE 06 — DEPLOY

SBOM · Provenance · Release Gate

Chaque artefact génère un SBOM et une provenance. L'Open Policy Agent vérifie la conformité avant chaque déploiement en production. L'approbateur ne peut pas être l'auteur. Releases signées, chaîne de build traçable, SLSA Level 3 comme objectif.

SBOMSLSA L3OPASigstore / Cosign
PHASE 07 — RUN

Runtime Monitoring & Vulnerability Management

Détection d'anomalies sur une baseline comportementale. Triage des CVE avec contexte des assets. Incident playbooks alignés sur les obligations de notification de l'art. 17 DORA et de NIS2. Cycle de vie des vulnérabilités jusqu'au correctif vérifié.

Runtime DetectionVM LifecycleIncident Response
TRANSVERSAL · CONTINU

Governance, Audit & KPIs

Ce qui n'est pas mesurable ne s'améliore pas. Nous définissons des KPIs de sécurité (MTTR, Mean Time to Detect, vieillissement du backlog, couverture de tests), fournissons des dashboards pour le conseil d'administration et l'auditeur — et automatisons la collecte des preuves sur l'ensemble de la pipeline.

Security KPIsAudit TrailsExecutive Dashboards
SSDLC IN AKTION

Drei Artefakte, sieben Phasen.

Vom ersten Threat Model über SAST-Gate bis zum signierten Release — alles maschinen-prüfbar, alles audit-fest.

Nous sommes convaincus que l'Application Security ne naît pas de davantage d'outils, mais de responsabilités claires, d'activités intégrables à chaque phase et de preuves, que l'auditeur voit avant même de poser la question.

Valeri Milke
Valeri Milke
Founder & CEO · VamiSec GmbH
03 / CE QUE NOUS APPLIQUONS

Des standards qui fonctionnent.

Nous ne nous appuyons pas sur des méthodes inventées, mais sur des standards éprouvés — que nous combinons en un cadre cohérent pour votre domaine.

Du Threat Model STRIDE dans l'architecture jusqu'au durcissement SLSA de la build pipeline. D'OWASP ASVS pour les back-ends web à MASVS pour les applications mobiles et AISVS pour les composants d'IA. Les standards sont le langage dans lequel l'audit, le conseil d'administration et l'ingénierie se comprennent.

STRIDE
MAESTRO
OWASP ASVS
OWASP MASVS
OWASP ISVS
OWASP AISVS
OWASP SCSVS
OWASP SAMM
NIST SSDF
ISO/IEC 27034
IEC 62443
SLSA Levels
BSI IT-Grundschutz
ISO/IEC 42001 (IA)
ISO/IEC 27001
CycloneDX SBOM
04 / RÉGLEMENTATION EU

Un SSDLC. Quatre réglementations. Un repo d'audit.

CRA, NIS2, DORA et l'EU AI Act interviennent tous directement dans le processus de développement logiciel. Qui structure proprement son SSDLC satisfait ces obligations simultanément — au lieu d'entretenir quatre processus de conformité parallèles.

CRA — Cyber Resilience Actà partir de 12 / 2027

Security by design, SBOM, notification des incidents, mises à jour sur 10 ans, gestion des vulnérabilités. Ancré dans le SSDLC par le Threat Modeling (phase 2), SAST/SCA (phase 4), SBOM & signature (phase 6), Vulnerability Management (phase 7).

Directive NIS210 / 2024

Gestion des risques, sécurité de la chaîne d'approvisionnement, audit trails, obligations de notification 24 / 72 h. Dans le SSDLC : RBAC et audit logs dans la pipeline, builds signés, routage automatisé des incidents.

DORA01 / 2025

Gestion des risques ICT, tests de résilience, contrôle des tiers (secteur financier). Dans le SSDLC : Chaos Engineering et exercices de reprise en phase Run, provenance sur l'ensemble de la chaîne de build, scanning des fournisseurs sur chaque dépendance.

EU AI Actjusqu'à 08 / 2027

Pour l'IA à haut risque : documentation du cycle de vie, qualité des données, supervision humaine. Dans le SSDLC : Threat Modeling MAESTRO pour les composants d'IA, tests AISVS, model cards comme artefact dans chaque pipeline.

04.5 / SUPPLY CHAIN

Sécuriser la chaîne d'approvisionnement. SLSA comme standard.

La plupart des attaques de ces dernières années — de SolarWinds à xz-utils — sont passées par la chaîne de build et de dépendances. SLSA (Supply-chain Levels for Software Artifacts) est le framework avec lequel nous durcissons cette chaîne par étapes : provenance signée, builds isolés, artefacts reproductibles.

Nous amenons généralement les équipes SSDLC au SLSA Level 2 en 6–12 mois ; le Level 3 est l'objectif pour les produits régulés par CRA et DORA.

IM CODE · APPLICATION SECURITY

Sicherer Code. By Design, nicht per Zufall.

Die meisten Breaches beginnen in einer einzigen Zeile Code. Wir finden Schwachstellen, bevor Angreifer es tun — mit Threat Modeling, Secure Code Review, statischer Analyse und Penetration Testing.

Geprüft nach OWASP ASVS, ISO/IEC 27034 und dem OpenSSF Secure Coding Standard — mit priorisierten, sofort umsetzbaren Findings.

Secure Code Review
Penetration Testing
Threat Modeling
SAST & DevSecOps
Supply-Chain Security
Secure SDLC & Training
DER LEITFADEN · OWASP

Der OWASP Developer Guide. Die Landkarte für sicheren Code.

Das offizielle Navigationssystem durch das OWASP-Universum: über 40 Projekte, jeder SSDLC-Phase zugeordnet — von ASVS und Threat Dragon über CycloneDX bis WSTG und OpenCRE, aufgebaut auf OWASP SAMM.

Wir machen den herstellerneutralen Open-Source-Guide für Ihr Unternehmen nutzbar — auditfest und gemappt auf NIS2, CRA, DORA und ISO/IEC 27001.

ASVS
Threat Dragon
Cheat Sheet Series
CycloneDX & SBOM
WSTG & ZAP
OpenCRE + KI
DAS REIFEGRAD-TOOL · OWASP SAMM

SAMM Self-Assessment. Messen Sie Ihre SSDLC-Reife.

Mit welchem Reifegrad entwickelt Ihre Organisation sichere Software? Unser kostenloses Self-Assessment-Tool führt Sie durch das OWASP Software Assurance Maturity Model (SAMM) — über alle 5 Business Functions und 15 Security Practices hinweg.

Direkt im Browser ausfüllen, Ergebnisse als Report exportieren und per JSON-Import jederzeit fortsetzen oder mit dem nächsten Assessment vergleichen — so sehen Sie schwarz auf weiß, wo Ihr SSDLC steht und welche Hebel zuerst zählen.

5 Business Functions
15 Security Practices
Reifegrad-Scoring
Reporting
JSON Import / Export
OWASP SAMM v2.1.0
L'outil de vérification · OWASP ISVS

OWASP ISVS Analyse des écarts

Aux côtés d'ASVS (web) et de MASVS (mobile), l'OWASP IoT Security Verification Standard couvre les produits connectés. Avec notre outil gratuit, vous évaluez ISVS niveaux 1 à 3 — avec radar de maturité, heatmap des écarts et rapport prêt pour la direction.

  • 149 points de contrôle
  • 5 chapitres ISVS
  • Niveaux 1–3
  • Rapport de direction
Ouvrir l'analyse des écarts ISVSGratuit · sans inscription · s'exécute dans le navigateur
L'outil supply chain · OWASP SCVS

OWASP SCVS Analyse des écarts

Quel est le niveau de sécurité de votre chaîne d'approvisionnement logicielle ? L'OWASP Software Component Verification Standard (SCVS) examine les composants, le SBOM, l'intégrité des builds et la provenance. Avec notre outil gratuit, vous évaluez la maturité de votre supply chain sur les niveaux SCVS 1 à 3.

  • 6 familles de contrôles
  • SBOM & provenance
  • Niveaux 1–3
  • Rapport de direction
Ouvrir l'analyse des écarts SCVSGratuit · sans inscription · s'exécute dans le navigateur
05 / POURQUOI VAMISEC

La profondeur plutôt que la quantité. La pratique plutôt que la théorie.

Nous ne sommes pas des généralistes qui font un peu de tout. L'Application Security et le SSDLC sont notre cœur de métier depuis plus de deux décennies.

0+
ans de sécurité produit, de Threat Modeling et de tests d'intrusion
0+
packages de services curés dans nos compendiums dédiés à la sécurité produit & à la réglementation
0
standards de vérification OWASP en usage actif — ASVS, MASVS, ISVS, AISVS, SCSVS
0
thèmes pertinents pour l'EU dans le catalogue de classification par tiers actuel
06 / DÉMARCHE

Trois étapes. Des progrès mesurables.

Nous ne commençons pas par un concept de 200 pages, mais par un état des lieux honnête. Ensuite, nous planifions ensemble — étape par étape, avec des artefacts concrets à la fin de chaque phase.

01

Diagnostic

Où en êtes-vous aujourd'hui ? Nous cartographions la maturité actuelle de votre Application Security selon OWASP SAMM et identifions les trois leviers au plus fort ROI.

  • Assessment SAMM
  • Revue du Threat Model des systèmes existants
  • Analyse des écarts de conformité
  • Roadmap quick-win (30 jours)
02

Durcissement

Nous ancrons les activités de sécurité là où elles doivent être — dans les phases, dans les outils, dans les équipes. Avec des responsabilités claires et des gates automatisés.

  • Threat Modeling dans le workflow d'architecture
  • Gates SAST/SCA dans les pipelines
  • Génération de SBOM et de provenance
  • Secure Coding Guides & formation des développeurs
03

Mise à l'échelle

Une application pilote devient la démarche standard pour l'ensemble du portefeuille. Les KPIs deviennent visibles, les audits prévisibles, les releases plus sereines.

  • Templates self-service pour les équipes de développement
  • Executive Security Dashboards
  • Durcissement SLSA L3 à l'échelle de la production
  • Audit-ready pour CRA, NIS2, DORA
HÄUFIGE FRAGEN

Bevor du losläufst.

Was Teams am häufigsten zum SSDLC fragen — kompakt beantwortet.

  • Nein. Ein SSDLC sitzt oberhalb Ihres bestehenden Stacks. Wir nutzen Ihre vorhandenen SAST/SCA-Tools, Repos und Pipelines weiter — wir verbinden sie zu einem konsistenten Prozess mit klaren Gates und Artefakten.

  • Beide. Security definiert die Standards und Gates, Dev verankert die Aktivitäten in der täglichen Arbeit. AppSec ist der Brückenkopf. Wir helfen, die Verantwortlichkeiten klar zu definieren und automatisierte Gates zu etablieren — damit Security nicht zum Bottleneck wird.

  • Erste Quick Wins in 30 Tagen (SAMM-Assessment, Top-3-Hebel, automatisierte Pipeline-Gates). Spürbare Reduktion von Hotfixes und Release-Verzögerungen in 3–6 Monaten. Audit-Reife für CRA/NIS2/DORA in 6–12 Monaten je nach Ausgangslage.

  • Ein gut aufgesetzter SSDLC erfüllt alle vier Regularien gleichzeitig — siehe unsere Compliance-Mapping-Sektion. CRA fordert Security-by-Design, SBOM und Updates; NIS2 fordert Risikomanagement und Lieferkettensicherheit; DORA fordert ICT-Resilienz; AI Act fordert Lifecycle-Doku für High-Risk-Systeme. Alle vier werden im SSDLC durch Threat Modeling, SAST/SCA, SBOM-Signing und Runtime-Monitoring abgedeckt.

  • Realistisch: Wir starten mit dem, was da ist. Erst Inventarisierung und Threat Modeling, dann schrittweise Pipeline-Hardening. Auch ohne moderne CI/CD lassen sich SBOM, Schwachstellen-Management und Audit-Trails einführen — über Wrapper-Skripte und Out-of-Band-Scans.

  • SLSA L3 ist das Ziel für regulierte Branchen (CRA, DORA). Für die meisten Organisationen ist L2 ein guter erster Meilenstein in 6 Monaten. L3 erfordert isolierte Builds, signierte Provenance und Two-Person-Approval — wir planen den Weg dorthin stufenweise.

07 / CONTACT

Parlons de votre Application Security.

30 minutes de premier échange. Nous écoutons, nous situons, nous disons honnêtement si nous pouvons aider. Et sinon — nous vous indiquons qui le fera mieux. Aucun pitch.