Bienvenue sur notre blog.

Nous avons consulté 15 directeurs techniques de SaaS au sujet de leurs défis et préoccupations en matière de sécurité du cloud et du code. Pourquoi ?

• Les directeurs techniques de SaaS sont tous confrontés à des défis en matière de sécurisation de leur produit. Nous avons voulu identifier ces tendances et découvrir leurs besoins et leurs inquiétudes.
• La recherche de clients est essentielle pour le succès de toute startup, et Aikido n'est pas différent ! En fait, nous adorons découvrir ce que les clients ont à dire.
• Depuis le début, nous nous attachons à concevoir et à faire évoluer nos outils de sécurité en fonction de ce qui est le plus important pour nos clients.

Ici, à l'Aïkido, nous croyons au partage ouvert des connaissances. Il est donc temps de transmettre ce que nos consultations ont découvert et mis au jour.

A propos de notre consultation sur la sécurité du cloud et du code

Les directeurs techniques que nous avons consultés sont issus de startups de logiciels natifs dans le nuage qui comptent entre 51 et 500 employés. Nous nous sommes concentrés sur ces sujets de sécurité du cloud et du code :

• la priorité accordée à la prévention de la menace
• les obstacles à la prévention des menaces
• leur niveau de satisfaction à l'égard des solutions actuelles
• les autres solutions qu'ils ont utilisées et leurs défauts
• les défis auxquels ils sont confrontés
• leurs exigences et les résultats souhaités
• les caractéristiques qu'ils apprécient, et
• ce qu'ils veulent accomplir à l'avenir.

Quelle importance accordez-vous à la prévention des menaces pesant sur la sécurité de l'informatique en nuage et du code ?

Commençons par le niveau de priorité que les directeurs techniques accordent à la prévention des menaces de sécurité. Les données dont nous disposons montrent que les directeurs techniques accordent un degré de priorité élevé à la prévention des menaces. La note moyenne est de 8,27 (sur 10). 93 % des directeurs techniques ont classé l'importance de la prévention des menaces à 7 ou plus. Le chiffre 8 est la réponse la plus populaire et le chiffre 10 est le deuxième choix le plus élevé.

Qu'est-ce qui empêche de prévenir efficacement les menaces liées à la sécurité de l'informatique en nuage et du code ?

Même si les directeurs techniques aimeraient prévenir les menaces liées à la sécurité du cloud et du code, certains obstacles se dressent devant eux. Les trois principaux obstacles sont les priorités concurrentes, le budget et la complexité.

Priorités concurrentes

La réponse la plus fréquente est la concurrence des priorités (40 %). Qu'est-ce que cela signifie pour les défis en matière de sécurité ? Bien que les directeurs techniques considèrent la sécurité comme une priorité absolue, il existe d'autres préoccupations tout aussi importantes, voire potentiellement plus importantes, au sein d'une entreprise. Par exemple, la course aux nouvelles fonctionnalités par rapport aux problèmes de sécurité qui les entourent est un exercice d'équilibre en matière de cybersécurité.

Comme la sécurité est souvent un bon investissement à long terme, mais qu'elle a moins d'impact au quotidien, il est facile de déprioriser le travail.

Contraintes budgétaires

Le deuxième obstacle est constitué par les contraintes budgétaires (33 %). Le principal défi consiste à prouver le retour sur investissement que les mesures de sécurité apportent à l'entreprise. Ou, comme le dit un directeur technique, "justifier l'investissement dans la sécurité du cloud". Cela peut également être lié à la privatisation quotidienne mentionnée ci-dessus.

Complexité

La complexité remporte la palme (27 %). Le problème réside dans la multiplicité des menaces potentielles. Les classer par ordre de priorité devient un fardeau et un défi. Il est donc facile de perdre de vue les menaces les plus importantes.

Quel est votre degré de satisfaction à l'égard de vos solutions actuelles pour prévenir les menaces à la sécurité du code et de l'informatique en nuage ?

La note moyenne est de 6,4 et un tiers des directeurs techniques ont évalué leur satisfaction à l'égard des solutions actuelles à 5 ou moins. Seuls 20 % sont très satisfaits, avec une note de 8 ou 9, tandis que 0 % obtient une note parfaite de 10. L'essentiel est de comparer ces résultats avec le niveau de priorité beaucoup plus élevé qu'ils accordent à la prévention des menaces. Nous constatons un écart notable et inquiétant entre l'importance et la satisfaction.

Quelles autres solutions de sécurité utilisez-vous et quelles sont leurs faiblesses ?

Les solutions de sécurité actuelles comprennent un large éventail de produits disponibles sur le marché. Les directeurs techniques ont mentionné 11 produits, SonarQube étant le plus utilisé (33 %). Par ailleurs, pas plus de 13 % des directeurs techniques utilisaient les mêmes produits au moment de notre enquête.

Tarification et modèles de tarification

40 % des directeurs techniques ont indiqué que le plus gros défaut concerne les prix élevés et les modèles de tarification. L'un d'entre eux fait état d'un prix astronomique, "payant aujourd'hui des logiciels dans les six chiffres". Un autre s'interroge sur la viabilité à long terme de la tarification à la ligne : "Les modèles de tarification qui suivent le nombre de lignes de code sont une source d'inquiétude pour l'avenir".

Faux positifs

33 % ont signalé des faux positifs, c'est-à-dire des alertes qui identifient par erreur une vulnérabilité ou une activité malveillante. Nous pouvons tous comprendre les frustrations qui en découlent : la lassitude des alertes et le gaspillage des ressources dû aux faux positifs.

D'autres lacunes dans les solutions actuelles

Parmi les autres défauts, citons les difficultés liées à l'évaluation des risques, la complexité de l'installation et de la maintenance, l'absence d'adéquation entre la technologie et la pile, et la protection limitée.

Un directeur technique met le doigt sur les frustrations liées à la nécessité d'utiliser plusieurs solutions de sécurité :

Je ne connais aucune solution qui couvre plusieurs scénarios, ce qui signifie qu'en tant que directeur technique, je m'attends à ce que le logiciel-service que nous utilisons actuellement pour des analyses de sécurité automatisées de notre base de code ne soit certainement pas la même chose qu'une solution qui assure la conformité avec l'un de nos fournisseurs de services en nuage.

Que nous apprennent les avis des directeurs techniques sur les failles actuelles des logiciels de sécurité ?

Voici ce qu'il faut retenir. Les directeurs techniques sont à la recherche d'un guichet unique pour les logiciels de sécurité du code et de l'informatique en nuage :

• des prix raisonnables
• l'absence de faux positifs
• une installation simple, et
• un entretien sans souci.

Quels sont les plus grands défis en matière de sécurisation du code et de l'informatique dématérialisée ?

Les principaux défis auxquels sont confrontés les directeurs techniques de SaaS sont l'opposition au sein de l'entreprise, l'excès d'informations à traiter, l'évolution des menaces et la complexité d'une couverture complète.

Opposition interne

40 % ont déclaré que le principal défi était d'ordre interne : le manque de sensibilisation ou d'autres priorités se traduisent par des ressources limitées. Cela confirme les deux principaux obstacles à la prévention des menaces mentionnés précédemment (priorités et budget).

Le plus grand défi consiste à changer l'état d'esprit des organisations et à leur faire comprendre que la sécurité est une caractéristique et qu'il faut y investir en permanence.

La gestion du changement est notoirement difficile. Et la sensibilisation à des changements significatifs d'attitude et de stratégie peut s'avérer un défi encore plus difficile à relever.

Trop de bruit

La surcharge d'informations est une réalité. 27 % des directeurs techniques déclarent que le tri entre les informations est le deuxième défi le plus important. Il n'est pas facile de comprendre quelles sont les menaces à prioriser ou à explorer, ni comment les traiter. Une fois de plus, si des faux positifs sont présents, il peut y avoir des impasses, des inefficacités et un travail malavisé.

Il semble y avoir un nombre illimité de données dans les journaux, mais aucun moyen de gérer ce qu'elles signifient, par qui et comment elles doivent être traitées.

Évolution, couverture et complexité des menaces

L'évolution, la couverture et la complexité des menaces ont été classées comme des défis de moindre importance. Cependant, ils confirment toujours certains des obstacles et des failles identifiés plus tôt dans l'enquête.

Les menaces de sécurité ne sont pas stagnantes - elles évoluent et tendent à garder une longueur d'avance sur les solutions de sécurité. Cela signifie que vos vulnérabilités évoluent également, ce qui peut parfois ressembler à un jeu de piste.

Les méthodes des attaquants sont de plus en plus sophistiquées et de nouvelles vulnérabilités sont découvertes régulièrement.

Les CTO ont également souligné les difficultés rencontrées pour confirmer certaines des failles identifiées dans leurs solutions actuelles. Ils déclarent recevoir une couverture incomplète, ce qui crée un faux sentiment de sécurité. Et dans le domaine de la sécurité, ce n'est tout simplement pas suffisant !

Bien qu'ils tentent de donner un sentiment de sécurité, je crains qu'ils ne nous protègent pas réellement contre la majorité des menaces.

Une couverture incomplète est liée à la nécessité, ou à la perception de la nécessité, d'une mosaïque de solutions diverses :

Il y a trop de pièces mobiles. Qu'il s'agisse des systèmes et logiciels de développement initial, du processus CICD, de l'infrastructure des applications ou des référentiels de données, ... ils ne s'intègrent pas dans une approche holistique de solution de posture de sécurité.

Quels sont les résultats commerciaux souhaités par les directeurs techniques ? Qu'est-ce qui importe le plus aux directeurs techniques en matière de sécurité du cloud et du code ?

Nous avons posé ces deux questions pour savoir quels étaient leurs objectifs stratégiques et ce qui comptait le plus pour les atteindre.

Résultats souhaités

Les directeurs techniques ont classé les trois principaux résultats stratégiques de la manière suivante :

1. Protéger la réputation de la marque et la confiance des clients (47%)
2. Les données sensibles sont protégées, ce qui signifie qu'il n'y a pas de violation de données (33%)
3. Être couvert pour la conformité (20 %)

Qu'est-ce qui compte le plus ?

Et, pour mettre en œuvre ces résultats souhaités, ce qui importait le plus aux CTO étaient les éléments suivants (vous pouvez en choisir plus d'un pour cette question) :

1. Peu d'entretien (53%)
2. Fiabilité / Pas de faux positifs (40%)
3. Des rapports clairs et efficaces (33%)

Avez-vous remarqué ce que nous avons remarqué ? Ces conclusions sont similaires à celles que nous avons tirées de la question sur les failles des solutions de sécurité actuelles.

Mais qu'en est-il de la tarification ?

Cependant, un rapport clair et efficace remplace un prix raisonnable dans la liste ci-dessus par rapport aux apprentissages par défaut. Ainsi, en contradiction avec les commentaires et les choix concernant le prix et le budget plus tôt dans l'enquête, seulement 7% ont donné la priorité au prix dans cette question. Qu'est-ce que cela signifie ?

Décortiquons la perplexité liée à la tarification. Nous interprétons cela comme signifiant que le prix est un défi et un obstacle lorsque le logiciel de sécurité ne répond pas aux attentes. Mais si la solution de sécurité est précise, facile à maintenir, qu'elle démystifie la complexité grâce à des rapports simples et qu'elle aide à atteindre les objectifs les plus élevés, à savoir protéger la réputation de la marque, susciter la confiance des clients et assurer la sécurité des données tout en respectant les normes de conformité, le prix devient moins bloquant et plus facile à justifier.

Les caractéristiques les plus importantes lors du choix d'un logiciel de sécurité du code et de l'informatique en nuage

Nous avons également demandé aux CTO SaaS quelles étaient les caractéristiques techniques les plus importantes à leurs yeux. Ils ont classé cinq affirmations comme suit (notes sur 4) :

1. Détection d'une mauvaise configuration du nuage - 3,67 (33 % l'ont classé premier)
2. Analyse des vulnérabilités à partir de sources ouvertes - 3,53 (33% l'ont classé premier)
3. Détection des secrets (clés API, mots de passe, certificats, etc.) - 3,53 (plus de 53 % ont classé cette fonction en deuxième position)
4. Analyse statique du code via les plateformes CI/CD - 2,93
5. Analyse des licences Open Source - 1.33 (80% l'ont classé dernier)

Lesquelles de ces caractéristiques de sécurité sont les plus importantes pour vous ? Y en a-t-il d'autres que vous souhaiteriez voir figurer dans votre solution de sécurité ?

Vous voulez un produit qui résout vos problèmes de sécurité du code et de l'informatique en nuage ?

Par-dessus tout, lorsqu'on leur a demandé ce qu'ils aimeraient accomplir à l'avenir, les directeurs techniques ont placé la déclaration suivante en tête de liste :

Je veux me sentir totalement à l'abri des menaces qui pèsent sur la sécurité de l'informatique en nuage et du code.

C'est de la musique pour nos oreilles. Willem, notre directeur technique, était confronté à ce problème dans ses entreprises précédentes. Ce problème l'a poussé à créer la bonne solution. C'est précisément ce que nous sommes en train de construire avec Aikido.

Notre solution rassemble les meilleurs outils de sécurité des logiciels libres. Cela vous permet de couvrir tous les domaines pertinents. Aikido vous montre également quels sont les problèmes et les vulnérabilités qui comptent vraiment et ceux que vous devez résoudre. Pas de faux positifs ici !

Voyez par vous-même comment Aikido peut aider un directeur technique à relever les défis liés à la sécurité du cloud et du code. Testez Aikido gratuitement ou contactez-nous.

Dans un paysage numérique en constante évolution, la sécurité des applications est une nécessité. L'un des moyens les plus efficaces de renforcer la sécurité de votre application est de l'évaluer à l'aide du Top 10 de l'OWASP. Mais qu'est-ce que le Top 10 de l'OWASP et en quoi est-il important pour vous ?

OWASP Top 10 : un cadre pour la sécurité du web

L'Open Web Application Security Project(OWASP) est une fondation à but non lucratif qui s'efforce de rendre les logiciels sur le web plus sûrs. Son Top 10 est un rapport largement reconnu qui décrit les 10 risques les plus critiques en matière de sécurité des applications web. Il s'agit essentiellement d'une liste de contrôle des faiblesses les plus courantes qui pourraient faire de votre application une cible pour les cybermenaces.

Pourquoi s'intéresser au Top 10 de l'OWASP ?

Le Top 10 de l'OWASP concerne la gestion des risques. La prise en compte des vulnérabilités mises en évidence dans le Top 10 de l'OWASP vous aide à réduire le risque de violation de la sécurité, à développer un code plus sûr et à créer une application plus sécurisée.

Suivre le Top 10 de l'OWASP est également une décision intelligente pour adhérer aux normes réglementaires et donner confiance aux utilisateurs dans votre engagement envers les meilleures pratiques de sécurité. Si votre application traite des données sensibles, vos utilisateurs veulent savoir qu'elle est sûre.

La liste de contrôle de l'OWASP est mise à jour tous les trois ou quatre ans. La dernière mise à jour date de 2021. Des regroupements, des renommages et des réorganisations ont lieu à chaque fois, car les vulnérabilités et les menaces augmentent et diminuent en gravité. Être conscient des dangers actuels peut vous aider à savoir par où commencer et quels sont les risques critiques qui nécessitent une attention immédiate.

Jetons un coup d'œil à la liste de contrôle la plus récente.

Les 10 principaux risques de sécurité des applications Web selon l'OWASP

1. Contrôle d'accès défaillant

Souvent, les restrictions imposées aux utilisateurs authentifiés ne sont pas appliquées. Les pirates peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou des données non autorisées. Ils peuvent être en mesure d'accéder à d'autres comptes d'utilisateurs, de consulter des fichiers sensibles, de modifier ou de détruire des données et de changer les droits d'accès. Ils peuvent même se retrouver avec des droits d'administrateur sur l'ensemble du système. Le Top 10 de l'OWASP insiste sur une règle essentielle : sauf pour les ressources publiques, refuser par défaut.

2. Défaillances cryptographiques

De nombreuses applications web ne protègent pas correctement les données sensibles, telles que les cartes de crédit, les identifiants d'authentification, les dossiers médicaux et autres données personnelles. Les attaquants peuvent voler ou modifier des données faiblement protégées pour commettre des fraudes à la carte de crédit, des usurpations d'identité ou d'autres délits. Pour les entreprises, la propriété intellectuelle et les autres secrets d'affaires doivent être protégés. Veillez à évaluer les besoins de protection des données en transit et au repos. Et évaluez régulièrement les faiblesses de tous les protocoles et algorithmes.

3. L'injection

Les failles d'injection se produisent lorsqu'une application envoie des données non fiables dans le cadre d'une commande ou d'une requête. Les attaquants peuvent inciter l'interpréteur à exécuter des commandes non voulues ou à accéder à des données non autorisées, ce qui entraîne une perte de données, une corruption ou un accès non autorisé. L'examen du code source vous sera utile à cet égard, de même que l'utilisation rigoureuse d'outils de test de la sécurité des applications avant le déploiement en production.

4. Conception non sécurisée

L'OWASP recommande fermement que la sécurité commence avant tout codage. Les défauts de conception ou d'architecture peuvent compromettre une application même si elle est mise en œuvre de manière sécurisée. Cette phase de précodage doit inclure davantage de modélisation des menaces, de modèles et de principes de conception sécurisés et d'architectures de référence. Elle doit impliquer un équilibre entre les exigences commerciales et techniques, ainsi qu'un regard froid et dur sur le profil de risque de l'entreprise.

5. Mauvaise configuration de la sécurité

Le risque de mauvaise configuration fait référence à une mauvaise mise en œuvre des contrôles visant à assurer la sécurité des données de l'application, comme des erreurs dans les paramètres de sécurité, les mises à jour logicielles, les fichiers de configuration du serveur, ou les fonctions et les pages de l'application. Vous pouvez grandement contribuer à atténuer ces risques en gardant le cap sur une plateforme minimale. N'incluez pas de fonctions, de cadres et de composants inutiles. Selon le Top 10 de l'OWASP, l'essentiel est de désactiver les comptes et les mots de passe par défaut, de veiller à ce que le traitement des erreurs ne révèle pas trop d'informations et de tout patcher et mettre à jour.

6. Composants vulnérables et obsolètes

Les composants, tels que les bibliothèques, les frameworks et autres modules logiciels, s'exécutent avec les mêmes privilèges que l'application. Si un composant vulnérable est exploité, une attaque peut entraîner de graves pertes de données, voire une prise de contrôle complète du serveur. Vous devez connaître les versions que vous utilisez, tant du côté client que du côté serveur, rechercher régulièrement les vulnérabilités et suivre les bulletins de sécurité. Mais surtout, selon l'OWASP, ne vous contentez pas d'appliquer des correctifs tous les mois ou tous les trimestres, car cela expose votre application à des risques.

7. Défauts d'identification et d'authentification

Si les fonctions d'authentification et de gestion des sessions de votre application ne sont pas mises en œuvre correctement, les attaquants peuvent compromettre les mots de passe, les clés ou les jetons de session, ou exploiter d'autres défauts de mise en œuvre pour assumer d'autres identités. Le Top 10 de l'OWASP met en garde contre la faiblesse des mots de passe, la réutilisation des identifiants de session, la faiblesse des processus de récupération ou l'autorisation d'attaques automatisées. Si vous le pouvez, l'authentification multifactorielle est la solution à adopter, ainsi qu'une série de mesures d'authentification simples et sensées.

8. Défauts d'intégrité des logiciels et des données

Des défaillances dans l'intégrité des logiciels et des données peuvent se produire lorsque les applications dépendent de sources non fiables, comme des plugins ou des bibliothèques. De même, des pipelines CI/CD non sécurisés peuvent conduire à un accès non autorisé, voire à une compromission du système. Un autre risque provient des fonctions de mise à jour automatique qui ne vérifient pas suffisamment l'intégrité et des méthodes non sécurisées d'organisation des structures de données. Pour prévenir ces risques, votre équipe devrait utiliser des signatures numériques. Celles-ci peuvent confirmer la sécurité d'un logiciel ou de données. Veillez à n'utiliser que des référentiels de confiance pour les bibliothèques et les dépendances. Vous devriez également mettre en œuvre des outils de sécurité de la chaîne d'approvisionnement des logiciels pour vérifier les vulnérabilités connues. L'OWASP suggère de maintenir un processus de révision pour les changements de code et de configuration et de mettre en place un contrôle d'accès approprié pour le pipeline CI/CD. Enfin, n'envoyez pas de données sérialisées non signées ou non chiffrées à des clients sans en avoir vérifié l'intégrité ou ajouté une signature numérique.

9. Défaillances dans l'enregistrement et la surveillance de la sécurité

Une journalisation et une surveillance insuffisantes, combinées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants de s'en prendre aux systèmes, de maintenir la persistance, de passer à d'autres systèmes et d'altérer, d'extraire ou de détruire des données. Parmi d'autres mesures, le Top 10 de l'OWASP suggère d'enregistrer tous les événements tels que les connexions et les échecs de connexion, les avertissements et les erreurs doivent générer des messages clairs, et les journaux ne doivent jamais être stockés uniquement localement. Le fait de rendre les événements de journalisation et d'alerte visibles pour l'utilisateur est également une source de risque.

10. Falsification des requêtes côté serveur

Les problèmes de falsification des requêtes côté serveur (SSRF) surviennent lorsqu'une application web récupère des données à partir d'une source distante sans vérifier l'URL donnée par l'utilisateur. Cela peut permettre aux attaquants de tromper une application en lui faisant faire des requêtes à des endroits non désirés, même en passant outre les mesures de sécurité du réseau. L'OWASP estime que ces problèmes sont de plus en plus fréquents car les applications web modernes ont souvent besoin de récupérer des URL. Les risques s'aggravent en raison de l'utilisation de services en nuage et de systèmes complexes. Là encore, l'approche "deny-by-default" (refus par défaut) au niveau de l'accès au réseau est votre amie. Il existe également toute une série de mesures à prendre au niveau de la couche applicative.

J'ai écrit un blog sur un cas d'utilisation réel, n'hésitez pas à le consulter.

Pourquoi utiliser le Top 10 de l'OWASP ?

Le Top 10 de l'OWASP n'est pas seulement une liste de problèmes, c'est aussi un guide de solutions. Chaque élément de la liste de contrôle comprend une section sur la manière de prévenir la vulnérabilité et des exemples de scénarios d'attaque qui fournissent aux développeurs des mesures pratiques pour améliorer la sécurité de leur application. La sécurisation de votre application est un processus continu et de nouvelles menaces apparaissent en permanence. En restant vigilant et en faisant de la sécurité une priorité, vous pouvez assurer la sécurité de votre application et de vos utilisateurs.

Pour les entreprises, le Top 10 de l'OWASP n'est pas qu'une simple liste de contrôle, c'est un outil qui permet d'engager la conversation. C'est un outil qui met la sécurité au premier plan du processus de développement, favorisant une culture de sensibilisation à la sécurité au sein de votre organisation. En vous concentrant sur le Top 10 de l'OWASP, vous ne vous contentez pas d'améliorer la sécurité de votre application, vous faites de la sécurité un élément central de votre processus de développement.

Si vous êtes une entreprise " cloud-native ", Aikido vous permet désormais d'analyser facilement votre environnement de développement pour détecter les vulnérabilités du Top 10 de l'OWASP. Nos outils de test et nos rapports de sécurité vous donnent un score OWASP Top 10 clair et une analyse des mesures prises pour prévenir chaque vulnérabilité. Vous pouvez partager les rapports avec les parties prenantes et les utiliser pour obtenir un aperçu rapide des pratiques de sécurité sur lesquelles vous devez vous concentrer.

Scannez votre environnement avec Aikido dès maintenant pour obtenir votre score OWASP Top 10.

Comment éviter les erreurs courantes lors de la création d'un panneau d'administration SaaS ? Nous allons vous présenter quelques pièges et des solutions potentielles spécifiquement pour tous les créateurs de SaaS !

Que se passe-t-il lorsque vous créez une application SaaS qui a plus de quelques clients ? À un moment donné, l'inévitable se produit ! Les responsables des ventes et de la satisfaction de la clientèle se présentent à l'équipe de développement avec des exigences telles que :

• Montrez-moi quels sont les comptes activement utilisés
• Me permettre d'entrer dans un compte client pour l'assistance technique
• Activer ou désactiver un indicateur de fonctionnalité spécifique pour un compte donné
• Certains utilisateurs ne peuvent pas se connecter, pouvez-vous me dire quelle méthode ils utilisent pour s'authentifier ?
• J'ai un revendeur qui a besoin d'accéder à ses sous-comptes.
• Je dois prolonger la période d'essai gratuite d'un compte
• Un compte a besoin d'une configuration spécifique que seuls les agents du service clientèle doivent pouvoir mettre en place.
• Montrez-moi le MRR total pour un groupe spécifique de clients.

Une variété d'outils peut couvrir certains de ces cas d'utilisation. Les outils de PLG tels que Segment et journy.io permettent de suivre l'activité. Peut-être utilisez-vous un service de signalement des fonctionnalités tel que LaunchDarkly. Stripe ou Chargebee peuvent gérer certains aspects liés à la facturation. Pendant ce temps, les problèmes liés à l'authentification peuvent être visibles dans votre compte Auth0. Cependant, il est peu probable que vous utilisiez toutes ces plateformes. Même si c'est le cas, vous ne pouvez probablement pas couvrir certains cas d'utilisation.

La solution consiste à créer un panneau d'administration personnalisé. Il semble qu'il y ait quelques frameworks et services commerciaux disponibles pour commencer rapidement. Mais comment choisir l'un d'entre eux plutôt que de créer son propre panneau à partir de zéro ?

Éviter les panneaux d'administration intégrés à l'application

En premier lieu, nous recommandons d'éviter tout panneau d'administration injecté dans le code de votre application principale, comme le fait ActiveAdmin. Cela présente de nombreux inconvénients :

• Les nouvelles routes de l'API d'administration peuvent probablement être détectées dans le code client de votre application et les attaquants peuvent sonder ou attaquer cette vulnérabilité.
• Vous finirez probablement par avoir plusieurs types d'utilisateurs au sein d'une même base de code, ce qui compliquera les révisions du contrôle d'accès.
• Il sera beaucoup plus difficile d'ajouter des fonctions de protection supplémentaires, telles que la restriction de l'accès à partir d'une seule adresse IP.
• Si un problème critique est détecté dans le code du panneau d'administration, il est plus difficile de le mettre hors ligne sans mettre votre application hors ligne.

Les applications qui ne respectent pas ce principe ont plus de chances de se retrouver dans les articles de Slashdot. En voici une : https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates. Cette histoire montre notamment qu'il est possible de transformer un compte d'utilisateur en un compte de super-administrateur qui peut consulter les données d'autres utilisateurs.

Choisir un panneau d'administration avec un journal d'audit des actions de l'utilisateur

Au cas où cela devrait être dit, cela signifie que vos administrateurs devront s'authentifier avec des comptes d'utilisateurs distincts. (Pas de connexion avec un mot de passe partagé en utilisant support@app.io !). Quel en est l'avantage ? Si les paramètres d'un compte sensible sont mis à jour, vous pouvez savoir plus tard qui a effectué le changement.

Appliquer au moins 2FA (ou 3FA) pour authentifier les utilisateurs administrateurs

Choisissez une solution de panneau d'administration qui vous permet d'ajouter des facteurs supplémentaires en plus du 2FA, tels que des restrictions d'IP ou l'accès via d'autres solutions de confiance zéro.

Bonus : Utiliser les en-têtes de la politique de sécurité du contenu (CSP) pour bloquer le javascript inconnu

Le blocage du javascript inconnu est essentiel, en particulier sur les portails d'administration internes. Ci-dessous, un exemple de la vulnérabilité d'Apple à l'injection de courrier électronique, qui aurait pu être résolue avec de simples en-têtes CSP.

Ce tweet m'a rappelé l'époque où je piratais dans le cadre du programme de récompense des bugs d'Apple. J'ai trouvé, entre autres, une citation d'Harry Potter encodée en base64 sur une page interne de débogage et d'administration d'un compte iCloud. C'est la première fois que je partage ceci, car plus de 90 jours se sont écoulés ... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- Sam Curry (@samwcyo) 24 décembre 2023

Conclusions sur la création d'un panneau d'administration sécurisé

Oui, il est possible de créer un panneau d'administration sécurisé pour votre application. Vous devrez choisir soit un framework pour vous aider, soit une solution SaaS ou low-code existante pour vous aider à démarrer. Tant que vous le séparez de votre application principale et qu'il communique avec elle par le biais d'API privées, tout devrait bien se passer.

Aikido est un outil de sécurité applicative tout-en-un. Vous voulez savoir si votre application est sécurisée ? Commencez à scanner gratuitement.

Survivre à l'évaluation de la sécurité des fournisseurs

En matière de sécurité, tout évolue en permanence et les normes ne font pas exception. La norme ISO 27001:2022 remplacera bientôt la norme ISO 27001:2013. Aucune exigence importante de 2013 n'a été supprimée pour la version 2022. Mais il y a beaucoup de changements, principalement dans deux catégories :

• toute une série de nouveaux contrôles de sécurité
• la fusion d'un grand nombre d'anciens chèques de 2013.

Pour ce billet, nous nous concentrerons sur les nouveaux modèles axés sur la sécurité.

La révision de la norme ISO 27001:2022 introduit 11 nouveaux contrôles

A.5.7 Renseignements sur les menaces

Ce contrôle clé de la norme ISO 27001:2022 consiste à recueillir des informations sur les menaces et à les analyser pour prendre les bonnes mesures de protection. Il s'agit d'obtenir des informations sur des attaques spécifiques et sur les méthodes et technologies sournoises utilisées par les attaquants. En outre, il faut surveiller les dernières tendances en matière d'attaques. Voici l'astuce : vous devez recueillir ces informations à la fois au sein de votre propre organisation et auprès de sources extérieures, telles que les annonces des agences gouvernementales et les rapports des fournisseurs. En restant à l'affût de ce qui se passe, vous serez en mesure de vous conformer à l'article A.5.7.

🎯 Excellente nouvelle - c'est comme si l'Aïkido avait été conçu pour cela. C'est littéralement ce que fait l'Aïkido.

A.5.23 Sécurité de l'information pour l'utilisation des services en nuage

Pour vous conformer à cette exigence de la norme ISO 27001:2022, vous devrez définir des exigences de sécurité pour les services en nuage afin de mieux protéger vos informations dans le nuage. Cela comprend l'achat, l'utilisation, la gestion et la cessation de l'utilisation des services en nuage.

🎯 Aikido dispose d'un outil intégré de gestion de la posture de sécurité dans le cloud (CSPM) pour vous aider.

A.5.30 Préparation des TIC à la continuité des activités

Ce contrôle exige que vos technologies de l'information et de la communication soient prêtes à faire face à d'éventuelles perturbations. Pourquoi ? Pour que les informations et les actifs nécessaires soient disponibles en cas de besoin. Cela comprend la planification de la préparation, la mise en œuvre, la maintenance et les tests.

🎯 Pour vous permettre de vous conformer à cette exigence de la norme ISO 27001:2022, Aikido vérifie votre préparation aux grandes perturbations du cloud, notamment votre capacité à effectuer des sauvegardes entre les régions. Cette fonctionnalité n'est pas un paramètre par défaut, même pour AWS.

A.7.4 Contrôle de la sécurité physique

Ce contrôle ISO 27001:2022 est un peu différent des autres - il se concentre sur l'espace de travail physique. Il exige que vous surveilliez les zones sensibles afin que seules les personnes autorisées puissent y accéder. Les espaces concernés peuvent être n'importe quel endroit où vous opérez : vos bureaux, vos installations de production, vos entrepôts et tout autre espace physique que vous utilisez.

🥋 Conseil : il est temps de se rendre au dojo local ! Pour celui-ci, vous aurez besoin d'un véritable Aïkido ! (l'art martial) 😂

A.8.9 Gestion de la configuration

Ce contrôle exige que vous gériez l'ensemble du cycle de configuration de la sécurité pour votre technologie. L'objectif est de garantir un niveau de sécurité adéquat et d'éviter toute modification non autorisée. Cela comprend la définition de la configuration, la mise en œuvre, le contrôle et la révision.

🎯 L'une des choses ici est que vous vous assurez que la sécurité correcte est configurée dans votre git (GitHub) pour chaque branche, de sorte que tout le monde ne puisse pas fusionner sans les approbations appropriées.
Aikido vérifiera une grande partie des problèmes de configuration dans votre cloud. Il vérifiera également que vous utilisez IAC pour définir votre nuage, afin d'éviter les dérives de configuration dans votre nuage.

A.8.10 Suppression d'informations

Vous devez supprimer les données lorsqu'elles ne sont plus nécessaires pour respecter ce contrôle. Pourquoi ? Pour éviter la fuite d'informations sensibles et pour permettre le respect de la vie privée et d'autres exigences. Il peut s'agir de la suppression dans vos systèmes informatiques, sur des supports amovibles et dans des services en nuage.

⚠️ Ce type de contrôle n'est pas couvert par l'Aïkido.

A.8.11 Masquage des données

La norme ISO 27001:2022 exige que vous utilisiez le masquage des données (alias l'obscurcissement des données) ainsi que le contrôle d'accès afin de limiter l'exposition des informations sensibles. Il s'agit principalement d'informations personnelles identifiables (PII), car il existe déjà des réglementations strictes en matière de protection de la vie privée. Par ailleurs, d'autres catégories de données sensibles pourraient également être concernées.

⚠️ Ce contrôle vise à s'assurer que vous n'enregistrez pas les mauvaises IIP dans les systèmes d'enregistrement, etc. Heureusement, la plupart des systèmes modernes (par exemple Sentry) disposent d'une sorte de filtre intégré pour répondre à cette exigence. Mais Aikido n'est pas conçu pour vérifier ce contrôle.

A.8.12 Prévention des fuites de données

Pour ce contrôle, vous devrez appliquer diverses mesures contre les fuites de données afin d'éviter la divulgation non autorisée d'informations sensibles. Et si de tels incidents se produisent, vous devrez les détecter en temps utile. Cela concerne les informations contenues dans les systèmes informatiques, les réseaux et tous les appareils.

🎯 Aikido vérifie que votre nuage n'a pas de mauvaise configuration de sécurité qui pourrait entraîner une fuite de données non désirée.

A.8.16 Activités de contrôle

Ce contrôle exige que vous surveilliez vos systèmes afin de détecter les activités inhabituelles et, le cas échéant, d'activer la réponse appropriée en cas d'incident. Cela comprend la surveillance de vos systèmes, réseaux et applications informatiques.

🎯 Une fois que vous avez configuré vos applications, il ne suffit pas de laisser les courriels s'accumuler dans les archives de votre boîte de réception. Le mieux est de les laisser envoyer des alertes sur Slack. Et, devinez quoi ? C'est ce que fait Aikido.

A.8.23 Filtrage du web

Afin de protéger vos systèmes informatiques, le contrôle du filtrage web vous permet de gérer les sites web auxquels vos utilisateurs accèdent. Vous éviterez ainsi que vos systèmes soient compromis par des codes malveillants. Vous empêcherez également les utilisateurs de se servir de matériel illégal sur Internet.

🎯 En pratique, cela signifie utiliser n'importe quel type de WAF tel que AWS WAF ou Cloudflare. Aikido vous couvre - nous surveillons leur présence.

A.8.28 Codage sécurisé

La norme ISO 27001:2022 concerne également le codage sécurisé. Ce contrôle exige que vous établissiez des principes de codage sécurisé et que vous les appliquiez au développement de vos logiciels. Pourquoi ? Pour réduire les failles de sécurité dans le logiciel. Quand ? Il peut s'agir d'activités avant, pendant et après le codage.

🎯 Il s'agit du test statique de sécurité des applications (SAST) d'Aikido, que nous avons construit sur les meilleurs logiciels open-source. En outre, vous pouvez utiliser notre analyse de composition logicielle (SCA), basée sur Trivy.

La conformité à la norme ISO 27001:2022 avec l'aide de l'Aïkido

Si vous en êtes encore à la norme ISO 27001:2013, vous avez du pain sur la planche. Mais ne vous inquiétez pas. Il est possible de se mettre au diapason de la norme ISO 27001:2022 en peu de temps.

Ainsi, si vous souhaitez sécuriser rapidement votre application, Aikido vous donne un aperçu complet de votre situation en ce qui concerne le code et les contrôles dans le nuage.

Vous voulez savoir où vous en êtes ? Vérifiez votre conformité dès maintenant avec l'Aïkido ! Cela ne prend que quelques minutes : https://app.aikido.dev/reports/iso

Vous souhaitez discuter avec quelqu'un qui est passé par le processus de certification ISO ? Remplissez le formulaire ci-dessous et nous organiserons un appel.

Empêcher la prise de contrôle du nuage après la compromission des informations d'identification

Les outils d'intégration et de livraison/déploiement continus (CI/CD) ne sont plus un luxe pour les startups. Les startups qui évoluent le plus rapidement ont appris que la diffusion de grandes idées ambitieuses fonctionne mieux en diffusant de minuscules changements incrémentaux et faciles à réviser. Les plus productives d'entre elles effectuent 40 envois par jour. Certaines vont même jusqu'à 80 fois par jour. Cela ne peut être fait en toute sécurité qu'en utilisant un outil CI/CD tel que CircleCI, GitHub Actions, et les pipelines de GitLab, pour n'en citer que quelques-uns.

CI/CD attire les hackers

Un grand nombre de startups et de grandes entreprises utilisent ces outils de nos jours. Pour qu'ils déploient du code sur votre cloud, vous devez y stocker des secrets d'API spéciaux. Cela fait des outils CI/CD des cibles de grande valeur pour les pirates informatiques. En fait, ils ont l'habitude d'être piratés en permanence.

Jetez un coup d'œil à ces incidents, qui ne sont que quelques-unes des violations récentes qui ont été rendues publiques :

• CodeShip : "Notification de sécurité critique : GitHub breach" (2020)
• GitHub : " Exploitation des actions GitHub sur les projets open source" (2022)
• GitLab : "Mesures prises en réponse à une violation potentielle d'Okta" (2022)
• Jenkins : "Découverte d'un bogue critique dans Jenkins" (2020)

Comme vous pouvez le constater, cela arrive assez régulièrement. Comment défendez-vous le vôtre ?

Comment défendre mon infrastructure en nuage contre de telles violations ?

Lorsque l'une de ces plates-formes CI/CD est piratée, elle divulgue généralement la faille. Cela se produit généralement dans la journée qui suit la découverte de la faille. Cependant, une brèche peut rester active pendant des semaines avant d'être découverte. Malheureusement, ce temps peut être mis à profit pour élargir l'accès à tous les clients des plateformes.

Aikido vous aide à identifier vos défenses CI/CD

Heureusement, il existe des méthodes pour s'assurer que vous restez en sécurité même si la plateforme de votre choix est piratée. La nouvelle intégration d'Aikido Securityavec AWS vous alertera si votre cloud ne prend pas activement l'une des mesures suivantes. Utilisez notre compte d'essai gratuit pour voir si votre cloud dispose déjà de défenses contre ces fils.

Les étapes à suivre pour défendre votre CI/CD :

1. Lorsque vous attribuez des rôles IAM à votre plateforme CI/CD, assurez-vous qu'ils sont restreints par IP. La plupart des outils CI/CD disposent d'une option permettant de n'envoyer que le trafic provenant d'un ensemble spécifique d'adresses IP. Cette option rend les jetons d'API volés inutilisables en dehors de l'infrastructure CI/CD. Un pirate ne pourra pas les utiliser sur ses propres serveurs, ce qui devrait les ralentir considérablement, voire les bloquer complètement.
2. Lorsque vous créez des identifiants pour les plateformes CI/CD, prenez le temps de concevoir un accès minimal. Ne donnez pas de droits d'administrateur.
3. Ne mettez pas tous vos œufs dans le même panier : répartissez vos nuages sur plusieurs comptes. Cela permet de minimiser l'effet d'une violation. Par exemple, une violation des informations d'identification de votre environnement de préparation ne devrait pas entraîner une violation de votre environnement de production.
4. Utiliser l'authentification unique (SSO) ou l'authentification multifactorielle (MFA). C'est une évidence.

Malheureusement (mais de manière réaliste), vous devez supposer que votre CI/CD sera piraté un jour. Le moment venu, assurez-vous de changer tous les jetons de déploiement le plus rapidement possible.

Dans le monde des affaires très concurrentiel d'aujourd'hui, les startups sont confrontées à de nombreux défis lorsqu'il s'agit de conclure une affaire. L'un des plus importants est d'établir la confiance avec les prospects potentiels. En particulier en matière de sécurité. Établir la confiance avec des clients potentiels peut s'avérer crucial pour le succès d'une startup.

C'est pourquoi nous lançons une nouvelle fonctionnalité pour aider à résoudre ce problème : Rapports d'évaluation de la sécurité

Lorsqu'une startup partage un rapport complet d'évaluation de la sécurité, elle montre qu'elle est sérieuse en matière de sécurité. Elle instaure rapidement un climat de confiance et accélère la conclusion de l'affaire.

Dans cet article de blog, nous explorons le fonctionnement de notre fonction de reporting. Nous examinons également les raisons pour lesquelles les startups doivent communiquer la confiance dès le début et comment cela permet de gagner plus d'affaires.

Que contient ce rapport d'évaluation de la sécurité ?

La confiance est une question d'ouverture et d'honnêteté. Le rapport d'évaluation de la sécurité d'Aikido lève le voile ! Les clients reçoivent des informations sur les pratiques de sécurité de la startup, son score OWASP Top 10 et ses vulnérabilités. Ils peuvent même savoir à quelle vitesse la startup gère les risques. La volonté de partager ces informations permet aux startups de prouver qu'elles prennent très au sérieux la sécurité des données de chacun.

Flux d'approbation personnalisé

Tout n'a pas besoin d'être un livre ouvert, n'est-ce pas ? C'est pourquoi notre rapport d'évaluation de la sécurité permet aux startups de personnaliser exactement les informations qu'elles souhaitent partager. De cette façon, vous pouvez partager uniquement ce dont les bons prospects ont vraiment besoin. C'est comme si vous offriez un aperçu sans tout dévoiler. Les startups gardent le contrôle sur les informations sensibles. En même temps, elles donnent aux prospects l'assurance dont ils ont besoin pour aller de l'avant.

Normes et bonnes pratiques impartiales

Notre rapport d'évaluation de la sécurité respecte les normes les plus strictes et les meilleures pratiques. Par conséquent, cela renforce la crédibilité et le professionnalisme de la startup.

ISO 27001:2022

ISO/IEC 27001 est une norme internationale de système de gestion de la sécurité de l'information. Elle fournit une liste d'exigences de conformité par rapport auxquelles les organisations et les professionnels peuvent être certifiés. En outre, elle aide les organisations à établir, mettre en œuvre, maintenir et améliorer un système de gestion de la sécurité de l'information (SGSI). Aikido analyse tous les éléments liés à la sécurité du code et du cloud et automatise la surveillance.

SOC 2

SOC 2, ou Service Organization Control Type 2, est un cadre de conformité en matière de cybersécurité développé par l'American Institute of Certified Public Accountants (AICPA). L'objectif principal de SOC 2 est de s'assurer que les fournisseurs de services tiers stockent et traitent les données des clients de manière sécurisée. Tout comme pour ISO 27001, Aikido analyse tous les éléments liés à la sécurité du code et du cloud et automatise la surveillance pour vous.

Top 10 de l'OWASP

Le Top 10 de l'OWASP est mondialement reconnu par les développeurs comme la première étape vers un codage plus sûr. Il s'agit d'une liste des principaux risques de sécurité auxquels les applications web sont confrontées. Lorsque vous corrigez les problèmes de sécurité figurant dans la liste OWASP Top 10, vous pouvez être certain que vous avez considérablement amélioré la sécurité de votre application. De plus, Aikido vous donne une vue instantanée des problèmes de sécurité du Top 10 de l'OWASP que vous devez résoudre.

Aikidosec Benchmark

Chez Aikido, nous avons construit notre propre benchmark Aikidosec, qui évalue votre environnement par rapport aux autres utilisateurs d'Aikido. Dans votre rapport d'évaluation de la sécurité, vous êtes libre de partager ce benchmark avec vos clients pour leur montrer que vous faites partie des X% de startups les plus performantes en matière de sécurité.

"Sécurisé par l'Aïkido" - Un badge de confiance

Nous avons ajouté une fonction bonus très intéressante. Pour aider nos utilisateurs à montrer leur engagement en matière de sécurité, nous avons créé un badge spécial pour votre site web. Ce badge permet aux clients de demander un rapport d'évaluation de la sécurité en quelques clics. Le badge sert de validation externe et impartiale, donnant à vos clients l'assurance que vous mettez en œuvre des mesures de sécurité.

Prendre de l'avance sur la concurrence

Dans un marché encombré, il est essentiel de se démarquer. Nous pensons que le rapport d'évaluation de la sécurité donne aux startups un avantage concurrentiel en mettant en avant leur engagement en matière de sécurité. Comment les startups peuvent-elles se positionner comme des partenaires de choix dignes de confiance ? Notre conseil est de répondre aux préoccupations à l'avance par une approche solide, proactive et transparente de la protection des données.

Conclure des contrats plus rapidement et augmenter le chiffre d'affaires

Allons droit au but, d'accord ? Les startups veulent conclure des affaires le plus rapidement possible. En outre, elles veulent augmenter leur chiffre d'affaires. Les rapports d'évaluation de la sécurité contribuent à renforcer la confiance et la crédibilité, ce qui permet aux startups d'accélérer leur cycle de vente. Cela signifie moins de temps perdu, moins de ressources dépensées et plus de contrats signés.

Essayez-le dès maintenant en demandant le rapport d'évaluation de la sécurité de l'Aikido.

Vous voulez un rapport pour votre startup ?
Allez dans l'application et générez votre propre rapport.