Accueil Cyber Sécurité Un “pipeline d’or” pour sécuriser la chaîne d’approvisionnement

Un “pipeline d’or” pour sécuriser la chaîne d’approvisionnement

Par
Fabrice Symphorien
-
159
0

Les chefs d'entreprise d'aujourd'hui doivent relever certains défis clés alors qu'ils vont de l'avant avec des plans de transformation numérique. D'une part, ils doivent appuyer sur le bouton d'accélération lorsqu'il s'agit de développer des logiciels qui offrent une expérience client meilleure ou plus spécialisée, afin de rester à la pointe du progrès en ce qui concerne le leadership sur le marché.

D'autre part, elles doivent s'assurer que leurs cycles de développement de logiciels sont robustes et sûrs, parce que les les enjeux sont importants lorsqu'il s'agit des vulnérabilités de la chaîne d'approvisionnement.

Un nombre croissant dépendance croissante à l'égard des logiciels libres qui est au cœur du développement des logiciels modernes signifie que les chaînes d'approvisionnement en logiciels sont de plus en plus exposées au risque de compromission. En effet, l'année dernière a vu une record de 742 %. dans les attaques de la chaîne d'approvisionnement des logiciels libres perpétrées par des cybercriminels cherchant à exploiter des codes malveillants introduits à leur insu dans des applications commerciales.

Pour faire face à cette menace, les organisations doivent intégrer l'immuabilité et la sécurité dans leurs processus de développement de logiciels. Il s'agit de créer un “pipeline en or” qui s'avérera fiable à plusieurs reprises.

Intégrer la sécurité par défaut

Soumis à une pression croissante pour fournir des logiciels plus rapidement, les développeurs sont de plus en plus tributaires du code source ouvert et d'autres solutions de sécurité. composants tiers qui leur permettent de créer des produits et des services plus rapidement. Le problème est que cela introduit des vulnérabilités potentielles dans les filières de développement qui exposeront probablement les organisations à des attaques de la chaîne d'approvisionnement.

Par conséquent, l'intégration de la sécurité dans le processus de développement est devenue une priorité absolue pour les organisations qui cherchent à éviter le risque d'une compromission de la chaîne d'approvisionnement.

Ce n'est pas une tâche facile lorsque les équipes de sécurité se débattent avec de multiples outils pour essayer de relier les points et doivent éviter à tout prix de compromettre les flux de développement. Nous constatons qu'en dépit d'investissements importants dans les outils de développement et de sécurité, les entreprises ont toujours recours à des exportations manuelles et à des processus de corrélation pour tenter d'extraire des informations utiles à partir des différents outils.

Lire aussi :  L'avancée technologique la plus importante depuis des décennies

Pour surmonter ces problèmes, les organisations devraient intégrer des tests de sécurité et de validation complets et interdépendants dès le départ et tout au long de leur processus de développement et de déploiement d'applications de bout en bout.

En intégrant et en automatisant les pratiques de sécurité et d'application tout au long de la chaîne d'approvisionnement, les organisations peuvent créer un “pipeline d'or” qui garantit qu'une application est validée à chaque étape du développement. Ainsi, lorsqu'elle atteint la production, elle est aussi propre que possible – et tous les risques connus de la chaîne d'approvisionnement ont été éliminés.

Principe 1 – Commencer proprement : Lorsqu'il s'agit de construire un pipeline doré, les organisations devraient d'abord chercher à commencer “proprement” en intégrant des analyses périodiques à déclenchement automatique dans leur système de gestion du code source (SCM). Conçu autour d'une politique définie qui déclenche des actions et des réponses spécifiques, ce système contribuera à assurer la qualité et l'intégrité des composants existants, en les maintenant à jour grâce à une base de données de vulnérabilités et de risques actualisée en temps réel.

Principe 2 – Rester propre : Ensuite, pour s'assurer que leurs pipelines restent propres et sont sécurisés par défaut, chaque nouvelle requête d'un développeur doit activer un scan automatique qui génère un résultat de type “pass/warn/fail” (réussite/alerte/échec). Ces résultats sont ensuite notifiés aux développeurs via le SCM, ainsi que toute suggestion de correction.

Principe 3 – Stocker les approbations : Au stade de la construction, une analyse automatisée définitive fournit l'audit final et le sceau d'approbation. S'il est conforme, le composant reçoit le feu vert et entre en production – accompagné d'une nomenclature logicielle détaillée (SBOM) et d'un manifeste de sécurité qui offre une visibilité totale de tous les composants logiciels et de leurs dépendances. Si c'est le cas, il est stocké dans un volet gérable avec tous les autres SBOMS, pour une investigation claire et facile en cas de besoin. Si ce n'est pas le cas, les équipes sont informées des prochaines actions à entreprendre.

En incorporant des contrôles robustes axés sur les politiques dans le pipeline de développement, les organisations sont en mesure d'obtenir un retour d'information instantané sur les risques liés à la chaîne d'approvisionnement.

Cela signifie que les vulnérabilités peuvent être détectées et corrigées dès leur apparition et avant qu'elles n'atteignent le stade de l'exécution, une étape du cycle de vie de l'application où les enjeux (et les coûts) sont beaucoup plus élevés.

Lire aussi :  La menace de la porte dérobée pour la cybersécurité

Compter les gains

Les entreprises qui s'engagent dans cette approche de reporting du pipeline d'or sont en mesure d'obtenir des retours sur investissement significatifs. Outre la protection des flux de revenus contre les risques liés aux violations des applications ou aux problèmes de conformité, elles ont bénéficié d'un certain nombre d'autres avantages importants :

  • L'automatisation de processus auparavant manuels pour rationaliser l'orchestration de leur programme et réduire le temps et les coûts associés aux correctifs et à la remédiation.
  • En redonnant du temps et de la bande passante à leurs équipes de sécurité et de développement, qui peuvent être utilisés de manière plus productive sur d'autres projets.
  • Consolider et réduire le nombre d'outils de sécurité qu'ils doivent acheter et utiliser, ce qui permet de réaliser d'importantes économies qui se répercutent directement sur les résultats.

En plus d'améliorer la position de défense de la chaîne d'approvisionnement de l'entreprise elle-même, la mise en œuvre d'un pipeline doré permet aux organisations de développer et de déployer des applications plus rapidement. La mise en œuvre d'un pipeline d'or permet aux organisations de développer et de déployer des applications plus rapidement, générant ainsi des gains d'efficacité qui contribueront de manière durable à la réussite à long terme de l'entreprise.

Nurit Bielorai est responsable de la sécurité de la chaîne d'approvisionnement chez Aqua Security

Tu pourrais aussi lire :

Quels outils de CI/CD peuvent favoriser la sécurité de la chaîne d'approvisionnement ?:

___________________________________________________________________________________________

Si tu aimes ce site web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel : £5 par mois ou £50 par an. S'inscrire

Renseignements sur la : Capturé, organisé et accessible

” La cybersécurité n'est plus l'apanage des spécialistes de l'informatique
Les pirates de DoppelPaymer arrêtés “
Article précédentFerrari piraté et rançon exigée
Article suivantRester en sécurité dans un monde en mutation
Fabrice Symphorien

ARTICLES CONNEXESPLUS DE L'AUTEUR