Conformité au compendium IT-Grundschutz du BSI allemand
Le BSI IT-Grundschutz-Kompendium est la norme de base allemande en matière de sécurité de l'information. Découvrez comment ImmuniWeb aide votre organisation à répondre à ses exigences en matière de sécurité des applications web et mobiles.
BSI IT-Grundschutz-Kompendium Compliance
L'IT-Grundschutz-Kompendium est la méthodologie centrale et le catalogue de contrôles publié par l'Office fédéral allemand pour la sécurité de l'information (BSI). Il définit une approche structurée de référence en matière de sécurité de l'information et constitue le fondement de la certification ISO/IEC 27001 basée sur l'IT-Grundschutz. Le catalogue officiel complet est disponible sur le site web du BSI (bsi.bund.de).
Qu'est-ce que le BSI IT-Grundschutz-Kompendium?
Le BSI (Bundesamt für Sicherheit in der Informationstechnik) est l'autorité nationale allemande en matière de cybersécurité. Son IT-Grundschutz-Kompendium organise les exigences de sécurité en modules (Bausteine), regroupés en couches orientées processus et orientées système qui couvrent l'organisation et le personnel, les applications, les systèmes informatiques, les réseaux et les systèmes de contrôle industriels.
Chaque module contient des exigences spécifiques catégorisées comme Basic, Standard et High protection. Conjugué aux BSI Standards 200-1, 200-2 et 200-3, le Kompendium offre aux organisations une méthode reproductible et auditable pour établir un niveau de sécurité adéquat et poursuivre la certification ISO 27001 sur la base de l'IT-Grundschutz. Cette page fait référence à l'édition 2025 actuelle du Kompendium.
Qui doit se conformer à l'IT-Grundschutz?
L'IT-Grundschutz est obligatoire pour les autorités fédérales allemandes et largement adopté dans le secteur public, par les opérateurs d'infrastructures critiques (KRITIS) ainsi que par leurs fournisseurs et sous-traitants. Les organisations du secteur privé l'utilisent également comme feuille de route pratique vers l'ISO 27001 et pour démontrer une posture de sécurité robuste lorsqu'elles opèrent en Allemagne et dans la région DACH.
Principales exigences IT-Grundschutz en matière de sécurité des applications
Bien que le Kompendium couvre l'ensemble de la sécurité de l'information, les modules les plus pertinents pour la sécurité des applications — et pour ImmuniWeb — sont les suivants:
- CON.8 — Développement logiciel (Software-Entwicklung): développement sécurisé et tests de sécurité des logiciels tout au long de leur cycle de vie.
- CON.10 — Développement d'applications Web (Entwicklung von Webanwendungen): conception et codage sécurisés des applications Web, incluant la validation des entrées, l'encodage des sorties, l'authentification et la protection des sessions.
- APP.3.1 — Applications Web et services Web (Webanwendungen und Webservices): protection des applications et services Web déployés contre les attaques courantes (OWASP), avec un contrôle d'accès et une journalisation appropriés.
- APP.1.4 — Applications mobiles (Mobile Anwendungen / Apps): sécurisation des applications mobiles, incluant la minimisation des permissions, le stockage sécurisé des données sur l'appareil et la protection des données en transit.
Remarque. L'applicabilité varie selon le type d'application. CON.8, CON.10 et APP.3.1 s'appliquent aux applications web, tandis que CON.8 et APP.1.4 s'appliquent aux applications mobiles.
Comment ImmuniWeb vous aide à atteindre la conformité IT-Grundschutz
Les tests de sécurité des applications web et mobiles d'ImmuniWeb soutiennent directement les exigences de développement sécurisé et de protection des applications des modules IT-Grundschutz pertinents. La correspondance ci-dessous est segmentée par type d'application.
Pour les applications web — CON.8.A5, CON.10.A, APP.3.1.A
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| CON.8.A5 | Tests de sécurité des logiciels tout au long du cycle de développement. | ImmuniWeb On-Demand, Neuron, Continuous |
| CON.10.A | Développement sécurisé d'applications web: validation des entrées, encodage des sorties, authentification et protection des sessions. | ImmuniWeb On-Demand, Neuron, Continuous |
| APP.3.1.A | Protection des applications et services web déployés contre les attaques courantes (OWASP), avec contrôle d'accès et journalisation. | ImmuniWeb On-Demand, Neuron, Continuous, Discovery |
Pour les applications mobiles — CON.8.A5, APP.1.4.A
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| CON.8.A5 | Tests de sécurité des logiciels tout au long du cycle de développement (s'applique aux applications mobiles). | ImmuniWeb MobileSuite, Neuron Mobile |
| APP.1.4.A | Sécurité des applications mobiles: minimisation des autorisations, stockage sécurisé sur l'appareil et protection des données en transit. | ImmuniWeb MobileSuite, Neuron Mobile, Continuous |
ImmuniWeb On-Demand propose des tests d'intrusion manuels pour les applications web avec un SLA zéro faux positifs ; ImmuniWeb Neuron et Neuron Mobile fournissent des analyses automatisées de sécurité web et mobile ; ImmuniWeb MobileSuite couvre l'intégralité des tests d'intrusion mobiles ; et ImmuniWeb Continuous intègre les tests dans votre pipeline CI/CD pour un SDLC sécurisé. ImmuniWeb Discovery cartographie et surveille votre surface d'attaque externe.
Pourquoi la conformité à l'IT-Grundschutz est-elle importante?
L'IT-Grundschutz constitue la référence de facto en matière de sécurité de l'information en Allemagne et la voie reconnue vers la certification ISO 27001 sur la base de l'IT-Grundschutz. Pour les organismes du secteur public et les opérateurs KRITIS, la conformité est souvent une exigence contractuelle ou réglementaire.
Au-delà de la conformité, la réalisation des modules de sécurité des applications réduit le risque de violations issues d'applications web et mobiles vulnérables — l'un des vecteurs d'attaque les plus courants — et démontre une diligence raisonnable auprès des régulateurs, partenaires et clients.