Avis sur les outils de Threat Modeling

Hello,

Petite question pour les devs : Certains d’entre vous ont-ils déjà bossé avec des logiciels de Threat Modeling (en français Modèle de menace, mais bon pas sur que ça parle).

Plus sérieusement je bosse dans la sécu et on me demande s’il est pertinent de « conseiller » (comprendre vendre) des solutions de threat modeling a nos clients.

Je pense entre autres à ThreatModeler ou Microsoft Threat Modeling Tool. Sur le principe je comprends très bien l’intérêt de ce type de solutions mais j’avoue j’ai un peu de mal à me rendre compte de la charge de travail versus les gains. Et surtout de l’adhérence des dev / utilisateurs à utiliser ce genre de solution qui pourrait être vu comme imposé par les équipes sécu. Et je ne compte pas conseiller des solutions dont je ne suis moi-même pas convaincu…

Du coup je suis preneur de retours d’expériences avec ce type de produits !

J’y ait pensé en voyant le post Agile, je n’ai pas osé pollué :blush:

Je ne vais pas pouvoir t’aider, n’ayant jamais utilisé ce type d’outil, mais la réponse m’intéresse. :slightly_smiling_face:

A chaud et sans savoir, j’aurais tendance à penser que c’est déjà pour un niveau assez avancé de sécurité, non ? Et que côté équipes de devs il y a déjà des “recettes” à appliquer (e.g. TOP 10 OWASP) et une culture de la sécurité à inculquer avant de passer à ce genre d’outil.