Logiciel de défense

Les critères clés incluent l'expérience défense pertinente, les certifications de sécurité (ISO 27001, AQAP 2110, FedRAMP), la disponibilité d'habilitations, une entité juridique éligible OTAN, des déploiements opérationnels réels (pas seulement des contrats) et la capacité à livrer dans des conditions classifiées ou air-gapped.

ISO 27001 démontre un Système de Management de la Sécurité de l'Information (SMSI) documenté couvrant tout le SDLC — requis par la plupart des marchés OTAN, souvent un prérequis pour traiter des données client classifiées ou sensibles, et une base pour les exigences de qualité AQAP 2110.

AQAP 2110 est l'Exigence d'Assurance Qualité OTAN pour la conception, le développement et la production. Pour le logiciel, il spécifie les contrôles de processus, la gestion de configuration, les exigences V&V et les obligations des fournisseurs — fréquemment exigé dans les contrats d'acquisition OTAN.

Le SDLC défense impose V&V formelle, environnements contrôlés, gestion de changement documentée, sécurité de la chaîne d'approvisionnement (SBOM, provenance des dépendances), habilitations pour les développeurs, hébergement classifié pour une partie du code, et assurance contre des cadres spécifiques comme NIST 800-53 ou AQAP 2110.

Le DevSecOps de défense intègre les contrôles de sécurité — SAST, DAST, génération de SBOM, analyse des dépendances, vérifications de sécurité d'infrastructure — directement dans le pipeline CI/CD. Chaque build produit des artefacts de preuve : rapports d'analyse, résultats de tests et enregistrements de conformité qui s'accumulent en une piste de preuves auditables soutenant l'accréditation du système. L'objectif est de rendre la sécurité continue plutôt qu'une dernière validation.

Un SBOM est un inventaire lisible par machine de chaque composant — bibliothèques open-source, packages tiers et leurs versions — inclus dans une livraison de logiciel. Les programmes d'achat de défense exigent de plus en plus des SBOM pour que les équipes de gestion des vulnérabilités puissent évaluer l'exposition lors de la publication d'un nouveau CVE sans auditer manuellement la base de code. Les exigences SBOM sont désormais intégrées dans les spécifications de livraison RFP du US DoD et de l'OTAN.

La discipline de revue de code dans le développement classifié va au-delà de la pull-request standard : les examinateurs doivent avoir l'habilitation appropriée ; les conclusions de la revue sont documentées et liées au dossier de gestion de configuration ; la signature cryptographique des commits garantit la non-répudiation ; les preuves de revue de code sont conservées dans le cadre du dossier de preuves d'accréditation.

Les logiciels de défense utilisent un mélange dicté par les exigences de performance, de sécurité et d'intégration des systèmes existants. C++ et Rust pour les composants critiques en performance (traitement des signaux, fusion en temps réel). Python pour les pipelines IA/ML. TypeScript et React pour les frontends des tableaux de bord C2. Java reste courant dans le middleware OTAN existant. Go est de plus en plus utilisé dans les microservices cloud-natifs.

De nombreux programmes de logiciels de défense impliquent des exigences classifiées, des environnements de données classifiés et des architectures système classifiées qui ne peuvent pas être partagés avec du personnel sans habilitations appropriées. Même dans le développement non classifié, le personnel travaillant sur des systèmes qui traiteront éventuellement des données classifiées doit passer des enquêtes de sécurité pour satisfaire aux exigences d'accréditation et réduire le risque de menaces internes.

Corvus Intelligence développe des logiciels de défense sur mesure dans neuf domaines de services : tableaux de bord C2, plateformes SIGINT, systèmes de fusion de données de combat, Edge AI de défense, applications mobiles tactiques, logiciels de logistique de défense, plateformes de cybersécurité militaire, infrastructure GovCloud sécurisée et simulateurs d'entraînement militaire. La société détient les certifications ISO 9001:2015, ISO 27001:2022 et ISO 45001:2018.