Évaluer votre stratégie de sécurité

La stratégie de sécurité est la capacité d'une organisation à détecter les menaces, à y répondre et à les corriger. Elle inclut la préparation des personnes, du matériel, des logiciels, des règles et des processus d'une organisation sur l'ensemble du cycle de vie des logiciels.

Il existe un certain nombre de frameworks et d'outils que vous pouvez utiliser pour évaluer votre stratégie de sécurité et identifier des moyens de limiter les menaces.

Pratiques de livraison de logiciels

Une stratégie de sécurité renforcée nécessite une base solide dans les bonnes pratiques de livraison de logiciels, et ces pratiques vont au-delà de la mise en œuvre d'outils et de contrôles techniques. Par exemple, si le processus d'approbation des modifications n'est pas clair, il est plus facile pour les modifications indésirables d'entrer dans votre chaîne d'approvisionnement logicielle. Si les équipes ne sont pas autorisées à signaler des problèmes, elles peuvent hésiter à signaler des problèmes de sécurité.

DevOps Research and Assessment (DORA) effectue des recherches indépendantes sur les pratiques et les capacités des équipes technologiques hautes performances. Pour évaluer les performances de votre équipe et découvrir des moyens de les améliorer, utilisez les ressources DORA suivantes:

• Effectuez l'évaluation DevOps rapide DORA pour obtenir des commentaires rapides afin de comparer votre entreprise à celle des autres.
• Découvrez les capabilities DevOps techniques, de processus, de mesure et culturelles identifiées par DORA.

Frameworks pour la stratégie de sécurité

Le framework de développement logiciel sécurisé (SSDF) du NIST et le framework d'évaluation de la cybersécurité (CAF) du NIST sont des frameworks développés par les gouvernements pour aider les organisations à évaluer leur stratégie de sécurité et à atténuer les menaces qui pèsent sur la chaîne d'approvisionnement. Ces frameworks tiennent compte du cycle de vie du développement logiciel, ainsi que d'autres aspects liés à la sécurité logicielle, tels que les plans de gestion des incidents. Leur complexité et leur champ d'application peuvent nécessiter un investissement important en temps et en ressources.

Niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA) est un framework qui vise à rendre la mise en œuvre de l'évaluation et de l'atténuation des risques plus accessible et incrémentielle. Il explique les menaces qui pèsent sur la chaîne d'approvisionnement et les mesures d'atténuation associées, et fournit des exemples d'outils de mise en œuvre de mesures d'atténuation. Elle regroupe également les exigences pour renforcer votre stratégie de sécurité à différents niveaux, afin que vous puissiez hiérarchiser et implémenter progressivement les modifications. SLSA est principalement axé sur le pipeline de livraison de logiciels. Vous devez donc l'utiliser avec d'autres outils d'évaluation tels que SSDF et CAF.

SLSA s'inspire de l'autorisation binaire pour Borg interne de Google, une vérification d'application obligatoire pour toutes les charges de travail de production de Google.

Software Delivery Shield est une solution de sécurité de la chaîne d'approvisionnement logicielle entièrement gérée sur Google Cloud qui intègre les bonnes pratiques SLSA. Vous pouvez consulter des insights sur votre stratégie de sécurité, y compris le niveau SLSA de vos compilations.

Gestion des artefacts et des dépendances

La visibilité sur les failles de votre logiciel vous permet de réagir et de corriger de manière proactive les menaces potentielles avant de lancer vos applications auprès de vos clients. Vous pouvez utiliser les outils suivants pour obtenir plus de visibilité sur les failles.

Analyse des failles

Les services d'analyse des failles tels que Artifact Analysis vous aident à identifier les failles connues dans vos logiciels.

Gestion des dépendances

Open Source Insights est une source centralisée d'informations sur les graphiques de dépendance, les failles connues et les licences associées aux logiciels Open Source. Consultez le site pour en savoir plus sur vos dépendances.

Le projet Open Source Insights rend également ces données disponibles sous la forme d'un ensemble de données Google Cloud. Vous pouvez explorer et analyser les données à l'aide de BigQuery.

Règle de contrôle du code source

Les tableaux de données sont un outil automatisé qui identifie les pratiques de chaîne d'approvisionnement logicielle risquées dans vos projets GitHub.

Allstar est une application GitHub qui surveille en permanence les organisations ou les dépôts GitHub pour vérifier qu'ils respectent les règles configurées. Par exemple, vous pouvez appliquer à votre organisation GitHub une règle qui recherche les collaborateurs extérieurs à l'organisation disposant d'un accès administrateur ou push.

Pour en savoir plus sur la gestion des dépendances, consultez la page Gestion des dépendances.

Sensibilisation de l'équipe à la cybersécurité

Si vos équipes comprennent les menaces et les bonnes pratiques liées à la chaîne d'approvisionnement logicielle, elles peuvent concevoir et développer des applications plus sécurisées.

Dans l'étude State of Cybersecurity 2021, Part 2 menée auprès de professionnels de la sécurité de l'information, les personnes interrogées ont déclaré que les programmes de formation et de sensibilisation à la cybersécurité avaient un impact positif (46%) ou important (32%) sur la sensibilisation des collaborateurs.

Les ressources suivantes peuvent vous aider à en savoir plus sur la sécurité de la chaîne d'approvisionnement sur Google Cloud:

• Le plan de base de Google Cloud pour les entreprises décrit la configuration de la structure organisationnelle, de l'authentification et des autorisations, de la hiérarchie des ressources, de la mise en réseau, de la journalisation, des contrôles de détection, etc. Il fait partie des guides du Centre des bonnes pratiques de sécurité Google Cloud.
• La page Developing Secure Software enseigne les pratiques fondamentales de développement de logiciels dans le contexte de la sécurité sur la chaîne d'approvisionnement logicielle. Il porte sur les bonnes pratiques de conception, de développement et de test de code, mais aborde également des sujets tels que la gestion des divulgations de failles, les cas d'assurance et les considérations relatives à la distribution et au déploiement de logiciels. L'outil Open Source Security Foundation (OpenSSF) a créé l'entraînement.

Se préparer au changement

Une fois que vous avez identifié les modifications à apporter, vous devez les planifier.

• Identifiez les bonnes pratiques et les mesures d'atténuation pour améliorer la fiabilité et la sécurité de votre chaîne d'approvisionnement.

• Établissez des directives et des règles pour vous assurer que les équipes mettent en œuvre les modifications et mesurent la conformité de manière cohérente. Par exemple, les règles de votre entreprise peuvent inclure des critères de déploiement que vous mettez en œuvre à l'aide de l'autorisation binaire. Les ressources suivantes peuvent vous aider:

  • Minimum Viable Secure Product (Produit sécurisé minimal viable) : checklist de sécurité contenant des contrôles permettant d'établir une stratégie de sécurité de base pour un produit. Elle vous permet de définir vos exigences minimales en matière de contrôle de la sécurité et d'évaluer les logiciels de fournisseurs tiers.
  • Publication (SP 800-53) du NIST sur les contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations.

• Planifiez des modifications incrémentielles afin de réduire la taille, la complexité et l'impact de chaque modification. Cela permet également aux membres de vos équipes de s'adapter à chaque changement, de fournir des commentaires et d'appliquer les leçons que vous avez apprises aux changements futurs.

Les ressources suivantes peuvent vous aider à planifier et à implémenter le changement.

• Le ROI de la transformation DevOps est un livre blanc qui explique comment prévoir la valeur et justifier l'investissement dans la transformation DevOps.

• Le programme de modernisation des applications de Google Cloud fournit une évaluation globale et guidée, qui mesure les résultats clés (vitesse, stabilité et surmenage) et identifie les capacités techniques, de processus et culturelles qui améliorent ces résultats pour votre entreprise. Pour en savoir plus sur le programme, consultez l'article de blog sur l'annonce du programme CAMP.

• Comment se transformer : fournit des conseils pour vous aider à planifier et à mettre en œuvre des changements. L'instauration d'une culture favorisant un changement incrémentiel et continu aboutit à de meilleurs résultats.

• Le framework de diffusion de logiciels sécurisés (NIST) décrit les pratiques de sécurité logicielle basées sur les pratiques établies par des organisations telles que la Software Alliance, l'Open Web Application Security Project et le SAFECode. Il comprend un ensemble de pratiques visant à préparer votre organisation, ainsi que des pratiques permettant de mettre en œuvre les modifications et de remédier aux failles.

Étapes suivantes

• Découvrez les bonnes pratiques pour protéger votre chaîne d'approvisionnement logicielle.
• En savoir plus sur Software Delivery Shield