Lacy Leadership

Success is Near

Bonnes Pratiques de Sécurité du Code Source

0 Le code source des actions peut être assimilé à la « sauce secrète  » d’une entreprise. Le code représente votre propriété intellectuelle à un niveau fondamental – ce sont les instructions qui font fonctionner les produits logiciels. Il fait également partie de votre avantage concurrentiel et constitue un aspect hautement stratégique de l’innovation et de […]
0 Le code source des actions

peut être assimilé à la « sauce secrète  » d’une entreprise. Le code représente votre propriété intellectuelle à un niveau fondamental – ce sont les instructions qui font fonctionner les produits logiciels. Il fait également partie de votre avantage concurrentiel et constitue un aspect hautement stratégique de l’innovation et de la place de votre entreprise dans votre industrie.

En raison de cette importance inhérente, le code source présente un risque élevé d’exposition et de vol. Les exemples de vol de code source ou même d’exposition accidentelle sont très répandus. Comme l’exemple du développeur de logiciels IBM qui a récemment été condamné à 5 ans de prison pour vol de code source. Ou l’exposition accidentelle de code de GreyShift, spécialiste du déverrouillage d’iPhone pour les forces de l’ordre, qui a entraîné la rançon de l’entreprise par les pirates. (1, 2)

Les conséquences de l’exposition au code source incluent tout, de la possibilité pour les concurrents d’avoir un avantage à la perte d’avantage innovant, aux coûts financiers, en passant par la création de problèmes de sécurité pour votre entreprise et vos clients.

Le code source est divulgué via un certain nombre de routes. Dans un article précédent, nous avons examiné certaines des raisons pour lesquelles et comment l’exposition au code source se produit. Ces itinéraires vers le code exposé comprennent à la fois des menaces internes et externes. Afin de réduire le risque de violation du code source, nous pouvons appliquer les meilleures pratiques en matière de sécurisation du code source. Dans cet article, nous examinerons 5 des plus importantes de ces pratiques. (3)

5 Les meilleures pratiques pour sécuriser le Code source

L’exposition au code source peut être un domaine compliqué à aborder. En effet, cela peut se produire à la fois par des moyens malveillants et accidentels. Toute mesure que vous prenez pour atténuer la perte de code source doit couvrir les deux causes de fuites. Les 5 meilleures pratiques ci-dessous, donnent une base solide pour prévenir la perte de ce produit le plus précieux, votre code source:

Meilleure pratique 1: Avoir des politiques de sécurité claires qui incluent le code source

Pourquoi est-ce nécessaire ? Les politiques de sécurité sont un élément fondamental d’une organisation moderne. Ils aident votre organisation à élaborer des stratégies et à vous conseiller sur tous les problèmes de sécurité potentiels. Le vol de données de toutes sortes est un problème majeur dans tous les secteurs d’activité. Plus de 6,5 millions d’enregistrements de données sont volés chaque jour, toutes entreprises confondues. Une organisation est exposée à un risque financier grave lorsqu’elle est violée; des recherches ont révélé que les baisses du cours des actions restent déprimées pendant au moins 6 mois après la violation. (4, 5)

Le code source doit être traité comme toute autre ressource de l’entreprise ; les menaces doivent être reconnues par votre politique de sécurité et y être traitées. Ces menaces devraient inclure non seulement la perte de code due à une exposition accidentelle ou malveillante, mais également la possibilité que le code soit intentionnellement infecté par un logiciel malveillant, c’est–à-dire compromis.

Moyens exploitables de contenir le problème : Lors de la création d’une politique de sécurité pour votre organisation, assurez-vous d’avoir une section qui couvre tous les domaines de développement de code source et le personnel impliqué dans le développement de code. Cela devrait inclure au minimum:

  • GitHub et d’autres types de dépôts, bonnes pratiques – par exemple, droits d’accès, configuration du dépôt, stratégies d’informations d’identification robustes, prévention du téléchargement de la source sur des machines locales, etc.
  • L’utilisation de supports amovibles par les développeurs – en particulier pour prévenir la perte accidentelle de code
  • Pratiques générales d’hygiène de sécurité pour les développeurs – politiques visant à atténuer le risque de partage de mots de passe entre les développeurs et l’utilisation de portails de collaboration où les mots de passe et le code peuvent être affichés en groupes
  • Formation de sensibilisation à la sécurité pour les développeurs – ce n’est pas parce qu’un individu écrit du code logiciel qu’il est conscient des risques de sécurité
  • Compartimenter le code source lorsque utilisation de sous–traitants – les développeurs n’ont généralement pas besoin d’avoir accès à tout le code. Ils devraient avoir accès sur la base du « besoin de savoir »
  • Gardez les informations d’identification secrètes et les clés de certificat séparées du code source – utilisez l’analyse automatique du code pour vérifier que les informations d’identification n’ont pas été ajoutées accidentellement au code
  • L’utilisation de technologies pertinentes – voir les meilleures pratiques 2, 3 et 4

Meilleure pratique 2: Appliquer des outils dédiés pour prévenir le vol de code source

Pourquoi est-ce nécessaire? Les menaces internes au code source sont très coûteuses. Dans notre récent article sur les problèmes de menaces internes, nous avons identifié qu’il peut en coûter en moyenne au moins 1,8 million de dollars et jusqu’à 20 millions de dollars pour rectifier un incident interne. De par sa nature même, s’assurer que les initiés respectent la propriété intellectuelle de l’entreprise peut être une chose délicate à faire. Cependant, les outils dédiés à la prévention du vol de logiciels nous offrent une couche de protection qui serait autrement très difficile à atteindre. (6)

Moyens exploitables de contenir le problème: Appliquer des outils spécialisés conçus pour contenir ce domaine très difficile du cyber-risque. Les outils de prévention de la perte de données aident à gérer les problèmes de sécurité liés aux domaines à risque élevé, y compris ceux qui quittent une organisation – 89% des sortants continuent d’avoir accès à des données d’entreprise propriétaires même après avoir quitté une organisation; les sous–traitants qui peuvent avoir un accès privilégié; et les employés existants en qui vous avez confiance mais qui doivent être vérifiés (voir également la meilleure pratique 5 ci-dessous). (7, 8)

Meilleure pratique 3 : Accès privilégié et 2FA

Pourquoi cela est-il nécessaire? Les mots de passe sont souvent le maillon le plus faible pour contrôler l’accès. Les développeurs ont généralement besoin d’un niveau élevé d’accès privilégié lorsqu’ils travaillent sur le code source. Les violations de données comme le récent incident de la collecte #1 où 773 millions d’enregistrements de données, y compris les mots de passe, ont été divulgués, rendent l’utilisation de mots de passe pour un accès privilégié à haut risque. Toute personne qui a besoin d’un accès privilégié, par exemple aux référentiels de code source, doit avoir une authentification robuste appliquée. Un deuxième facteur, tel qu’un certificat numérique ou un code à durée limitée reçu sur un appareil mobile, et des applications basées sur FIDO, sont des exemples d’authentification forte et/ou à deux facteurs (2FA). La biométrie est un autre type d’informations d’identification qui peut offrir un contrôle d’accès renforcé à une zone privilégiée d’un réseau. (9, 10)

Moyens exploitables pour contenir le problème : Toute zone de votre réseau contenant des données sensibles, y compris le code source, les spécifications de conception et toute autre documentation connexe, devrait avoir 2FA appliqué. Différents types de technologies sont disponibles pour contrôler l’accès aux zones privilégiées de votre système. Cependant, ceux-ci dépendent souvent de l’application. Les services souvent utilisés par les équipes de développement, tels que GitHub, offrent une authentification à deux facteurs. (11)

Reliez cette meilleure pratique à la meilleure pratique 1 et créez des politiques qui englobent un modèle de moindre privilège, c’est-à-dire n’autorisent l’accès qu’à ceux qui en ont vraiment besoin.

Meilleure pratique 4 : Technologies telles que le cryptage et l’analyse/surveillance comportementale

Pourquoi cela est-il nécessaire? La sécurité repose sur une approche en couches. Cela signifie que vous ne pouvez pas appliquer une seule bonne pratique et espérer qu’elle atténue les risques. Au lieu de cela, vous devez utiliser un certain nombre de bonnes pratiques à la fois techniques et centrées sur l’humain. La sécurité doit être considérée comme un processus.

Différentes technologies peuvent être appliquées sur une base globale et/ou départementale pour durcir votre couche de protection.

Moyens exploitables de contenir le problème: En utilisant des technologies telles que le cryptage, les technologies d’obscurcissement du code et en surveillant vos employés et vos sous-traitants de manière non intrusive, vous pouvez vous tenir au courant des problèmes avant qu’ils ne deviennent des incidents. Vous devez commencer au tout début du processus de développement, depuis les personnes qui développent et / ou accèdent au code jusqu’au dépôt dans lequel il est stocké, jusqu’au partage et à la publication du code.

Meilleure pratique 5 : Politiques qui englobent la confiance mais Vérifient

Pourquoi cela est-il nécessaire ? Cette bonne pratique rassemble tous vos efforts pour protéger votre code source. C’est un mantra philosophique qui fournit une base pour un moyen pratique de réduire non seulement l’exposition au code source, mais aussi d’autres fuites de données sensibles. « Faire confiance mais vérifier » consiste à créer une base pragmatique de confiance au sein de votre organisation. La confiance aveugle ne fonctionne pas comme l’attestent les 90% d’entreprises concernées par une menace interne. (12)

Moyens exploitables de contenir le problème: Trust but Verify réunit les approches sociologiques et technologiques de la sécurité du code source. Il est basé sur le développement d’une excellente communication avec vos employés. Cela comprend : l’application d’une formation de sensibilisation à la sécurité afin que tous vos employés comprennent les risques; avoir des politiques de sécurité claires qui incluent la protection du code; et, appliquer les meilleures technologies disponibles, comme la prévention de la perte de données, pour protéger votre code source.

Conclusion

Votre code source est votre propriété intellectuelle et vos données sensibles propriétaires. La protection de cette ressource est un besoin fondamental pour toute organisation qui génère du code. La perte de code source affecte non seulement vos résultats financiers, mais donne également une longueur d’avance à vos concurrents. Si votre entreprise crée du code source, vous devez vous assurer qu’il reste sous le contrôle de votre organisation. Mais le code source est une marchandise très précieuse et avec la valeur vient le risque.

Pour atténuer ce risque, vous devez suivre un processus qui englobe les meilleures pratiques. Nos 5 meilleures pratiques pour sécuriser le code source reposent sur une connaissance approfondie du secteur. Si vous suivez leurs conseils, votre entreprise peut contenir les risques associés au développement de code source. Ces meilleures pratiques offrent une approche de protection en couches qui s’appuie sur la méthodologie de pratique précédente pour ajouter de la profondeur et de la force à votre sécurité. Ces pratiques exemplaires garantiront que toute menace, tant interne qu’externe, est atténuée. La sécurité de votre code est une priorité dans un monde où la cybercriminalité sévit. Mais de même, une exposition accidentelle peut finir par coûter cher à votre organisation.

Ressources

  • Computerworld: https://www.computerworld.com.au/article/632406/ex-ibm-employee-jailed-over-source-code-theft/
  • Le Cyber-Fil: https://www.thecyberwire.com/issues/issues2018/April/CyberWire_2018_04_27.html
  • Stop-Source-Code-Theft, Pourquoi les développeurs volent-ils le code source ?: https://www.stop-source-code-theft.com/why-do-developers-steal-source-code/
  • Gemalto, Indice de Niveau de Violation: https://breachlevelindex.com/
  • Comparitech: https://www.comparitech.com/blog/information-security/data-breach-share-price-2018/
  • Stop-Code-Source-Vol, Menace d’initié 101: https://www.stop-source-code-theft.com/insider-threat-101-for-software-development-companies/
  • Stop-Vol de code source: https://www.stop-source-code-theft.com/
  • Delta de la Sécurité de La Haye: https://www.thehaguesecuritydelta.com/media/com_hsd/report/154/document/2017-Insider-Threat-Intelligence-Report.pdf
  • com: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
  • FIDO Alliance: https://fidoalliance.org/specifications/
  • Aide de GitHub: https://help.github.com/en/articles/securing-your-account-with-two-factor-authentication-2fa
  • Associés en Informatique: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.