A.	Gouvernance Sécurité
1.	Métrique et Stratégie
a)	SM1 : Feuille de route stratégique au sein de la structure
b)	SM2 : Mesurer les risques pesant sur les données et applications et adapter la réponse
c)	SM3 : Disposer d’indicateurs pertinents sur la sécurité des développements logiciels.
2.	Politique et conformités
a)	PC1 : Connaître les éléments de gouvernance et de conformité
b)	PC2 : Référentiel de sécurité
c)	PC 3 : Audit et vérification de la conformité
3.	Formation et accompagnement
a)	EG1 : Disposer de compétences formées au développement sécurisé
b)	EG2 : Former les intervenants sur leur rôle en sécurité
c)	EG3 : Certification des compétences en sécurité
B.	Conception
1.	Analyse des menaces
a)	TA1 : identifier et comprendre les menaces
b)	TA2 : améliorer la réponse aux menaces par une granularité plus forte de l’évaluation des menaces
c)	TA3 : lier les contrôles compensatoires avec les menaces 
2.	Besoins Sécurité
a)	SR1 : Insérer la sécurité explicitement lors de la phase d’exigences fonctionnelles
b)	SR2 : Aligner les besoins en sécurité en fonction des menaces
c)	SR3 : audit et vérification des exigences sécurité
3.	Architecture de Sécurité
a)	SA1 : Ajouter des éléments de sécurité de manière pro-active
b)	 SA2 : Suivi des éléments de sécurité fournis, et éléments d’architecture sécurisés .
c)	SA3 : Framework de sécurité et conformité 
C.	Vérification
1.	Revue de la conception
a)	DR1 : Mise en place de revues ad-hoc
b)	 DR2 : Mise en place de revues formelles
c)	DR3 : Mise en place de revue détaillées de la conception
2.	Revue de code
a)	CR1 : Vérification basique des vulnérabilités dans le code
b)	CR2 : Mise en place d’une automatisation des revues de codes
c)	CR3 : Utilisation effective et globale des revues de code
3.	Tests Sécurité
a)	ST1 : processus de validation de sécurité par des tests d’intrusion
b)	ST2 : processus de tests sécurité au sein  du cycle projet
c)	ST3 : validation du niveau de sécurité avant mise en production
D.	Déploiement
1.	Gestion des vulnérabilités
a)	VM1 : Réponse aux incidents
b)	VM2 : processus de réponse aux incidents
c)	VM3 : analyse des incidents
2.	Sécurisation des environnements
a)	EH1 : disposer d’environnement sécurisés
b)	EH2 : maintenir des environnements à jour
c)	EH3 : vérifier les environnements
3.	Mise en production
a)	OE1 : Mettre en place des canaux de communication entre les équipes de développement et les opérations pour les environnements à données critiques.
b)	OE2 : Améliorer la sécurité des opérations a travers des procédures détaillées
c)	OE3 : S’assurer de la bonne version des logiciels.