COBIT 4.1 (2007) : Cadre de Référence Objectifs de Contrôle Guide de Management Modèles de Maturités, IT Governance Institute, 2007.
ISO/IEC 27001 (2013) : ISO/IEC 27001:2013 Technologies de l’information – Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences, ISO Organisation internationale de normalisation, 2013.
ISO/IEC 27002 (2013) : ISO/IEC 27002:2013 Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information, ISO Organisation internationale de normalisation, 2013.
ISO/IEC 27005 (2011) : ISO/IEC 27005:2011 Technologies de l’information — Techniques de sécurité — Gestion des risques liés à la sécurité de l’information, ISO Organisation internationale de normalisation, 2011.
MICROSOFT SDL (2010) : Microsoft Security Development Lifecycle (SDL) Process Guidance – Version 5.0, Microsoft Corporation, 2010.
NIST (2002) : The Economic Impacts of Inadequate Infrastructure for Software Testing, National Institute of Standards and Technology, 2002.
OCTAVE ALLEGRO (2007) : Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process, Carnegie Mellon University, 2007.
PA-DSS (2013) : Norme de sécurité des données d’application de paiement, PCI Security Standards Council, 2013.
RFC 5280 (2008) : Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, The Internet Engineering Task Force, 2008.
Sites web
ANSSI : L’Agence Nationale de la Sécurité des Systèmes d’Information française fournit de nombreux conseils et une documentation importante en français : http://www.ssi.gouv.fr/entreprise/ (12 août 2017).
APPVERIFIER : AppVerifier est un outil d’analyse dynamique pour les applications natives Windows, disponible gratuitement et utilisable librement : https://www.microsoft.com/en-us/download/details.aspx?id=20028 (12 août 2017).
CLUSIF : Le club de la sécurité de l’information français propose une importante documentation en français : https://clusif.fr/publications/ (12 août 2017).
COMMIX : Commix est un outil pour les tests d’injection de commandes, open source, disponible gratuitement et utilisable librement : https://github.com/stasinopoulos/commix (12 août 2017).
CORAS (2012) : CORAS est une méthode d’analyse des risques de sécurité. Cette méthode est accompagnée d’un logiciel de modélisation librement utilisable : http://coras.sourceforge.net/ (12 août 2017).
CPPCHECK : Cppcheck est un outil d’analyse statique de code C++, open source, disponible gratuitement et utilisable librement : http://cppcheck.sourceforge.net/ (12 août 2017).
CWE : Le site Common Weakness Enumeration (CWE) répertorie les vulnérabilités logiciels. Il dispose également d’une documentation importante à propos de la sécurité de l’information. La communauté CWE est soutenue par l’organisation Mitre : https://cwe.mitre.org/ (12 août 2017).
DR. MEMORY : Dr. Memory est un outil d’analyse dynamique pour les applications natives Windows et Linux, disponible sous licence LGPL : http://www.drmemory.org/ (12 août 2017).
FINDBUGS : FindBugs est un outil d’analyse statique de code Java disponible sous licence LGPL : http://findbugs.sourceforge.net/ (12 août 2017).
FXCOP : FxCop est un outil d’analyse statique de code MSIL pour la plate-forme dotNet de Microsoft disponible sous licence Ms-RL : https://fxcopinstaller.codeplex.com/ (12 août 2017).
GIT : Git est un logiciel de gestion de version disponible sous licence GPL : https://git-scm.com/ (12 août 2017).
LDA : La Loi fédérale sur le droit d’auteur et les droits voisins, est la loi régissant le droit d’auteur en Suisse. Cette loi est disponible comme l’ensemble du droit fédéral du portail de la confédération suisse : https://www.admin.ch/opc/fr/classified-compilation/19920251/ (12 août 2017).
LPD : La Loi fédérale sur la protection des données est la loi régissant la protection des données personnelles en Suisse. Cette loi est disponible comme l’ensemble du droit fédéral du portail de la confédération suisse : https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html (12 août 2017).
MERCURIAL : Mercurial est un logiciel de gestion de version disponible sous licence GPL : https://www.mercurial-scm.org/ (12 août 2017).
MICROSOFT SDL : La société Microsoft fournit un portail dédié à la méthode Microsoft SDL. Il propose une documentation abondante dont une partie est disponible en français. Quelques outils sont également disponibles gratuitement via ce portail : https://www.microsoft.com/en-us/sdl/ (12 août 2017).
NIST : Le National Institute of Standards and Technology (NIST USA) est une agence gouvernementale dont le but est de promouvoir l’économie en définissant des standards technologiques. Cette agence possède un portail consacré à la sécurité de l’information : http://www.nist.gov/information-technology-portal.cfm (12 août 2017).
NMAP : Nmap est un outil de cartographie réseau, open source, disponible gratuitement et utilisable librement : https://nmap.org/ (12 août 2017).
OPENVAS : OpenVAS est un scanner de vulnérabilité, disponible sous licence GPL : http://www.openvas.org/ (12 août 2017).
OWASP : La communauté de l’Open Web Application Security Project (OWASP) propose, en plus de son « top 10 » des vulnérabilités, une documentation importante et de nombreux outils utilisables librement : https://www.owasp.org/ (12 août 2017).
PIXY : Pixy est un outil d’analyse statique de code PHP disponible sous licence GPL : https://github.com/oliverklee/pixy (12 août 2017).
QUALYS : Qualys est un scanner de vulnérabilité payant de l’entreprise Qualys : https://www.qualys.com/ (12 août 2017).
RATS : Rough Auditing Tool for Security est un outil d’analyse statique de code multi langages sous licence GPL : https://code.google.com/p/rough-auditing-tool-for-security/ (12 août 2017).
SAFECODE : Software Assurance Forum for Excellence in Code (SAFECode), SAFECode est une organisation à but non-lucratif dans le but est d’accroître la confiance dans les technologies de l’information et de la communication : http://www.safecode.org/publications/ (12 août 2017).
SQLMAP : sqlmap est un outil pour les tests d’injection de commandes SQL, disponible sous licence GPL : http://sqlmap.org/ (12 août 2017).
STRIDE : STRIDE est une méthode de modélisation des menaces développée par l’entreprise Microsoft. Microsoft propose gratuitement, un outil de modélisation basé sur la méthode STRIDE : https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx (12 août 2017).
STYLECOP : StyleCop est un outil d’analyse statique de code C# disponible sous licence Ms-PL : https://github.com/StyleCop (12 août 2017).
SUBVERSION : Subversion est un logiciel de gestion de version disponible sous licence Apache : https://subversion.apache.org/ (12 août 2017).
SYSINTERNALS : Sysinternals est une suite d’outils d’analyse pour les applications natives Windows, disponible gratuitement et utilisable librement : https://technet.microsoft.com/fr-fr/sysinternals/bb545021.aspx (12 août 2017).
VALGRIND : Valgrind est un outil d’analyse dynamique pour les applications natives, utilisable avec de nombreux systèmes d’exploitation, disponible sous licence GPL : http://valgrind.org/ (12 août 2017).
VISUALCODEGREPPER : VisualCodeGrepper est un outil d’analyse statique de code, multi langages, open source, disponible gratuitement et utilisable librement : http://sourceforge.net/projects/visualcodegrepp/ (12 août 2017).
WFUZZ : wfuzz est un outil pour les tests d’injection de données aléatoires pour les applications web, disponible sous licence GPL : https://github.com/xmendez/wfuzz (12 août 2017).
WIKIPEDIA : L’encyclopédie en ligne Wikipédia dispose d’un portail consacré à la sécurité de l’information : https://fr.wikipedia.org/wiki/Portail:S%C3%A9curit%C3%A9_de_l’information (12 août 2017).
WIRESHARK : WireShark est un outil d’analyse réseau, open source, disponible gratuitement et utilisable librement : https://www.wireshark.org/ (12 août 2017).