Bienvenue sur notre blog.

Au cours des dernières semaines, nous avons publié de nombreuses nouvelles fonctionnalités et étendu la prise en charge de différentes piles d'outils. Plus particulièrement, nous avons ajouté la prise en charge de l'analyse de nombreux registres de conteneurs! En outre, nous avons ajouté la prise en charge de l'analyse de nombreux registres de conteneurs :

• Nous avons ajouté un grand nombre de nouvelles règles AWS
• Autofix prend désormais en charge Python
• Nous avons amélioré notre analyse de l'accessibilité des exploits pour soutenir la PNPM.

Élargir le soutien au registre des conteneurs

De nombreux conteneurs exécutent des logiciels orientés web tels qu'Apache, Nginx, Python, Node.js ou d'autres moteurs d'exécution. Assurez leur sécurité grâce à l'analyse des conteneurs Docker ! En plus de Docker Hub, Azure Container Registry, GCP Artifact Registry et AWS Elastic Container Registry, nous supportons maintenant les registres suivants :

Registre de conteneurs GitLab (Cloud et autogestion)

Nous supportons maintenant le registre de conteneurs de GitLab pour Cloud & Self-Managed. En tant que partenaire de l'Alliance technologique GitLab pour la sécurité, nous ne pouvions pas passer à côté de ces fonctionnalités !

Lire la documentation pour la mise en place :

• Analyse des conteneurs pour le registre des conteneurs de Gitlab
• Analyse des conteneurs pour le registre de conteneurs autogérés de Gitlab

Registre de conteneurs Digital Ocean

DigitalOcean est une solution cloud solide que nous ne pouvions pas attendre pour soutenir. Nous sommes heureux de dire que nous le faisons maintenant pour les conteneurs !

Lire la documentation sur la façon de l'installer

Registre des conteneurs Scaleway

Nous sommes fiers d'effectuer également des analyses d'exploitation pour le registre des conteneurs de Scaleway, l'un des rares vrais nuages européens !

Lire la documentation sur la façon de l'installer

Amélioration de l'analyse de l'accessibilité de l'exploitation

Nous avons mis en place l'analyse d'accessibilité pour les lockfiles PNPM. Pour atteindre notre niveau de qualité, nous avons veillé à couvrir de nombreux cas limites typiques (aliasing, notation de version spéciale, etc.). Cela signifie que notre moteur de tri automatique se débarrasse de nombreux faux positifs, ce que d'autres ne font tout simplement pas.

Si vous utilisez le PNPM et l'Aikido, vous avez de la chance ! Vous utilisez l'un des seuls produits de l'industrie avec ce niveau de capacité de réduction du bruit ! 🎉

Extension des règles du SAP

Nous avons mis à jour notre ensemble de règles AWS afin d'y inclure des règles plus pertinentes. Nous voulons nous assurer que vous êtes informés des problèmes qui sont vraiment importants. Voici quelques-unes des nouvelles règles :

• Vérification des informations d'identification IAM non utilisées
• Certificats SSL qui ne se renouvellent pas automatiquement
• Les dépôts ECR qui ne suppriment pas automatiquement les anciennes images.

Veillez à connecter votre nuage AWS à Aikido pour vérifier si vous avez de nouveaux résultats.

Élargir la couverture de l'autofixation : Python

Avec la fonctionnalité Autofix d'Aikido, vous pouvez créer des requêtes pour corriger des vulnérabilités en un seul clic. Nous supportons maintenant aussi Python ! (Actuellement, cela ne s'applique qu'aux environnements utilisant requirements.txt, mais pas encore aux fichiers poetry.lock). Il n'y a rien d'autre à configurer. Il suffit de naviguer vers un problème Python et de trouver le bouton Autofix !

Pour en savoir plus sur Autofix, consultez notre documentation.

Essayez-les dès aujourd'hui

Connectez-vous à votre compte Aikido pour tester ces nouvelles fonctionnalités. Vous pouvez également demander une démonstration à notre équipe.

Nous serions ravis de connaître votre avis à ce sujet. Si des idées vous viennent à l'esprit, n'hésitez pas à nous en faire part ! Nous sommes toujours disponibles via le chat in-app. 😉

Les entreprises SaaS ont une cible énorme dans le dos en matière de sécurité, et c'est quelque chose qui empêche leurs directeurs techniques de dormir. La Cloud Security Alliance a publié son rapport d'enquête State of SaaS Security : 2024 et a découvert que "58 % des organisations déclarent avoir subi un incident au cours des deux dernières années".

‍

L'importance de la sécurité est confirmée par les résultats de la consultation d'Aikido auprès de 15 CTO SaaS, dans laquelle "93% des CTO ont classé l'importance de la prévention des menaces à 7 (sur 10) ou plus".

Pour aider les directeurs techniques de SaaS à mieux dormir, nous avons créé une liste de contrôle complète pour la sécurité des directeurs techniques de SaaS. Nous sommes convaincus que si vous la suivez et que vous y revenez régulièrement, votre entreprise et votre application seront 10 fois plus sûres.

Risques réels pour les entreprises SaaS

Les outils CI/CD tels que GitHub Actions et CircleCI sont des cibles de choix pour les pirates informatiques. Leurs brèches fréquentes permettent d'accéder aux nuages et conduisent à l'exposition des données. En 2023, une brèche dans CircleCI a compromis des secrets de clients, tandis qu'en 2022, un exploit dans GitHub Actions a touché des projets open source.

L'ensemble de l'environnement AWS d'une startup a été compromis via un simple formulaire de contact sur son site. Comment cela s'est-il produit ? Le formulaire permettait des attaques SSRF, donnant accès aux clés IAM qui étaient ensuite envoyées par courrier électronique. L'attaquant a pris le contrôle des buckets S3 et des variables d'environnement.

Ces failles de sécurité sont survenues dans de vraies entreprises et ont eu des effets réels. Mais elles auraient pu être évitées si elles avaient investi plus de temps et d'efforts dans l'amélioration de leurs pratiques de sécurité.

Liste de contrôle de la sécurité pour les directeurs techniques de SaaS : 40+ éléments pour vous guider

Notre liste de contrôle, d'une simplicité déconcertante, couvre plus de 40 façons de renforcer la sécurité de votre personnel, de vos processus, de votre code, de votre infrastructure, etc. Elle est organisée par stade de croissance de l'entreprise - bootstrap, startup et scaleup - afin que vous puissiez trouver les meilleures pratiques de sécurité correspondant à votre phase actuelle. Au fur et à mesure de votre croissance, notre liste de contrôle deviendra votre guide de confiance et votre compagnon constant sur le chemin des meilleures pratiques de sécurité pour votre entreprise SaaS.

Chaque élément de la liste est conçu pour que vous et votre équipe pensiez d'abord à la sécurité, puis pour vous donner des instructions claires et concises sur ce que vous pouvez faire pour remédier à la vulnérabilité. De plus, chaque élément est étiqueté de manière à ce que vous puissiez être sûr qu'il s'applique au stade actuel de votre entreprise.

La liste de contrôle est également divisée en sections afin que vous puissiez prendre en compte les besoins des différentes parties de votre entreprise. Vos employés sont exposés à des menaces différentes de celles qui pèsent sur votre code ou votre infrastructure ; il est donc logique de les examiner séparément.

En parcourant la liste, vous constaterez sans doute que certains points ne s'appliquent pas encore à vous. Nous vous recommandons toutefois de consulter régulièrement la liste de contrôle afin d'éviter toute mauvaise surprise. La sécurité n'a pas à être effrayante, à condition que vous agissiez pour la renforcer avant que quelque chose de grave ne se produise.

Nous avons sélectionné quelques éléments pour vous donner un aperçu de la liste de contrôle. La liste finale en contient plus de 40, alors n'oubliez pas de télécharger votre exemplaire et de commencer à améliorer votre sécurité dès aujourd'hui.

Revenir en arrière, puis revenir en arrière

La première s'applique à toutes les étapes de la croissance de l'entreprise et est absolument vitale. Mais nous sommes sûrs que vous effectuez déjà des sauvegardes régulières, n'est-ce pas ? C'est vrai ?!

Engager une équipe externe de tests de pénétration

Le point suivant est crucial pour les entreprises qui commencent à se développer. La croissance se passe bien, vous avez réglé tous les problèmes liés aux risques de montée en puissance, mais êtes-vous sûr que votre infrastructure est sécurisée à tous les niveaux ? C'est là qu'il est temps d'engager une équipe de test de pénétration!

Mettez à jour votre système d'exploitation et vos conteneurs Docker

Ce point est simple, mais de nombreux développeurs font des économies sur ce point. La mise à jour absorbe le temps du sprint alors que d'autres tâches semblent plus urgentes. Mais le fait d'omettre les mises à jour expose les systèmes vitaux à des vulnérabilités. Faites preuve de diligence en ce qui concerne les correctifs et les mises à jour afin d'éviter de graves problèmes à l'avenir.

Familiariser tout le monde avec les pratiques de sécurité de base

Le dernier point est pertinent à tous les stades et fait partie intégrante de notre liste de contrôle : il s'agit de la nécessité d'habituer tout le monde aux pratiques de sécurité de base. Les êtres humains commettent des erreurs. C'est inévitable. Mais si vous amenez tout le monde à penser à la sécurité, ces erreurs peuvent être atténuées.

Téléchargez gratuitement votre liste de contrôle de sécurité SaaS CTO

Il ne s'agit là que de quelques-uns des conseils essentiels couverts par la liste de contrôle. Nous vous donnerons également des conseils sur les revues de code, l'intégration et la désinsertion, les attaques DDoS, les plans de récupération des bases de données et bien d'autres choses encore.

Téléchargez dès maintenant la liste de contrôle de sécurité 2025 SaaS CTO d'Aikido et commencez à renforcer votre application et à faire en sorte que votre équipe pense sérieusement à la sécurité. Il n'est jamais trop tard, ni trop tôt, quel que soit le stade auquel se trouve votre entreprise.

Télécharger la liste de contrôle complète sur la sécurité des SaaS :

Les entreprises SaaS ont une cible énorme dans le dos en ce qui concerne la sécurité, et c'est quelque chose qui empêche leurs directeurs techniques de dormir. La Cloud Security Alliance a publié en début d'année son rapport d'enquête State of SaaS Security : 2023 et a découvert que "55 % des organisations déclarent avoir subi un incident au cours des deux dernières années".

L'importance de la sécurité est confirmée par les résultats de la récente consultation d'Aikido auprès de 15 CTO SaaS, dans laquelle "93% des CTO ont classé l'importance de la prévention des menaces à 7 (sur 10) ou plus".

Pour aider les directeurs techniques de SaaS à mieux dormir, nous avons créé une liste de contrôle complète pour la sécurité des directeurs techniques de SaaS. Nous sommes convaincus que si vous la suivez et que vous y revenez régulièrement, votre entreprise et votre application seront 10 fois plus sûres.

Risques réels pour les entreprises SaaS

Les outils CI/CD tels que GitHub Actions et CircleCI sont des cibles de choix pour les pirates informatiques. Leurs brèches fréquentes permettent d'accéder aux nuages et conduisent à l'exposition des données. En 2023, une brèche dans CircleCI a compromis des secrets de clients, tandis qu'en 2022, un exploit dans GitHub Actions a touché des projets open source.

L'ensemble de l'environnement AWS d'une startup a été compromis via un simple formulaire de contact sur son site. Comment cela s'est-il produit ? Le formulaire permettait des attaques SSRF, donnant accès aux clés IAM qui étaient ensuite envoyées par courrier électronique. L'attaquant a pris le contrôle des buckets S3 et des variables d'environnement.

Ces failles de sécurité sont survenues dans de vraies entreprises et ont eu des effets réels. Mais elles auraient pu être évitées si elles avaient investi plus de temps et d'efforts dans l'amélioration de leurs pratiques de sécurité.

Liste de contrôle de la sécurité pour les directeurs techniques de SaaS : 40+ éléments pour vous guider

Notre liste de contrôle, d'une simplicité déconcertante, couvre plus de 40 façons de renforcer la sécurité de votre personnel, de vos processus, de votre code, de votre infrastructure, etc. Elle est organisée par stade de croissance de l'entreprise - bootstrap, startup et scaleup - afin que vous puissiez trouver les meilleures pratiques de sécurité correspondant à votre phase actuelle. Au fur et à mesure de votre croissance, notre liste de contrôle deviendra votre guide de confiance et votre compagnon constant sur le chemin des meilleures pratiques de sécurité pour votre entreprise SaaS.

Chaque élément de la liste est conçu pour que vous et votre équipe pensiez d'abord à la sécurité, puis pour vous donner des instructions claires et concises sur ce que vous pouvez faire pour remédier à la vulnérabilité. De plus, chaque élément est étiqueté de manière à ce que vous puissiez être sûr qu'il s'applique au stade actuel de votre entreprise.

La liste de contrôle est également divisée en sections afin que vous puissiez prendre en compte les besoins des différentes parties de votre entreprise. Vos employés sont exposés à des menaces différentes de celles qui pèsent sur votre code ou votre infrastructure ; il est donc logique de les examiner séparément.

En parcourant la liste, vous constaterez sans doute que certains points ne s'appliquent pas encore à vous. Nous vous recommandons toutefois de consulter régulièrement la liste de contrôle afin d'éviter toute mauvaise surprise. La sécurité n'a pas à être effrayante, à condition que vous agissiez pour la renforcer avant que quelque chose de grave ne se produise.

Nous avons sélectionné quelques éléments pour vous donner un aperçu de la liste de contrôle. La liste finale en contient plus de 40, alors n'oubliez pas de télécharger votre exemplaire et de commencer à améliorer votre sécurité dès aujourd'hui.

Revenir en arrière, puis revenir en arrière

La première s'applique à toutes les étapes de la croissance de l'entreprise et est absolument vitale. Mais nous sommes sûrs que vous effectuez déjà des sauvegardes régulières, n'est-ce pas ? C'est vrai ?!

Engager une équipe externe de tests de pénétration

Le point suivant est crucial pour les entreprises qui commencent à se développer. La croissance se passe bien, vous avez réglé tous les problèmes liés aux risques de montée en puissance, mais êtes-vous sûr que votre infrastructure est sécurisée à tous les niveaux ? C'est là qu'il est temps d'engager une équipe de test de pénétration!

Mettez à jour votre système d'exploitation et vos conteneurs Docker

Ce point est simple, mais de nombreux développeurs font des économies sur ce point. La mise à jour absorbe le temps du sprint alors que d'autres tâches semblent plus urgentes. Mais le fait d'omettre les mises à jour expose les systèmes vitaux à des vulnérabilités. Faites preuve de diligence en ce qui concerne les correctifs et les mises à jour afin d'éviter de graves problèmes à l'avenir.

Familiariser tout le monde avec les pratiques de sécurité de base

Le dernier point est pertinent à tous les stades et fait partie intégrante de notre liste de contrôle : il s'agit de la nécessité d'habituer tout le monde aux pratiques de sécurité de base. Les êtres humains commettent des erreurs. C'est inévitable. Mais si vous amenez tout le monde à penser à la sécurité, ces erreurs peuvent être atténuées.

Téléchargez gratuitement votre liste de contrôle de sécurité SaaS CTO

Il ne s'agit là que de quelques-uns des conseils essentiels couverts par la liste de contrôle. Nous vous donnerons également des conseils sur les revues de code, l'intégration et la désinsertion, les attaques DDoS, les plans de récupération des bases de données et bien d'autres choses encore.

Téléchargez dès maintenant la liste de contrôle de sécurité 2024 SaaS CTO d'Aikido et commencez à renforcer votre application et à faire en sorte que votre équipe pense sérieusement à la sécurité. Il n'est jamais trop tard, ni trop tôt, quel que soit le stade auquel se trouve votre entreprise.

Télécharger la liste de contrôle complète sur la sécurité des SaaS

Nous avons consulté 15 directeurs techniques de SaaS au sujet de leurs défis et préoccupations en matière de sécurité du cloud et du code. Pourquoi ?

• Les directeurs techniques de SaaS sont tous confrontés à des défis en matière de sécurisation de leur produit. Nous avons voulu identifier ces tendances et découvrir leurs besoins et leurs inquiétudes.
• La recherche de clients est essentielle pour le succès de toute startup, et Aikido n'est pas différent ! En fait, nous adorons découvrir ce que les clients ont à dire.
• Depuis le début, nous nous attachons à concevoir et à faire évoluer nos outils de sécurité en fonction de ce qui est le plus important pour nos clients.

Ici, à l'Aïkido, nous croyons au partage ouvert des connaissances. Il est donc temps de transmettre ce que nos consultations ont découvert et mis au jour.

A propos de notre consultation sur la sécurité du cloud et du code

Les directeurs techniques que nous avons consultés sont issus de startups de logiciels natifs dans le nuage qui comptent entre 51 et 500 employés. Nous nous sommes concentrés sur ces sujets de sécurité du cloud et du code :

• la priorité accordée à la prévention de la menace
• les obstacles à la prévention des menaces
• leur niveau de satisfaction à l'égard des solutions actuelles
• les autres solutions qu'ils ont utilisées et leurs défauts
• les défis auxquels ils sont confrontés
• leurs exigences et les résultats souhaités
• les caractéristiques qu'ils apprécient, et
• ce qu'ils veulent accomplir à l'avenir.

Quelle importance accordez-vous à la prévention des menaces pesant sur la sécurité de l'informatique en nuage et du code ?

Commençons par le niveau de priorité que les directeurs techniques accordent à la prévention des menaces de sécurité. Les données dont nous disposons montrent que les directeurs techniques accordent un degré de priorité élevé à la prévention des menaces. La note moyenne est de 8,27 (sur 10). 93 % des directeurs techniques ont classé l'importance de la prévention des menaces à 7 ou plus. Le chiffre 8 est la réponse la plus populaire et le chiffre 10 est le deuxième choix le plus élevé.

Qu'est-ce qui empêche de prévenir efficacement les menaces liées à la sécurité de l'informatique en nuage et du code ?

Même si les directeurs techniques aimeraient prévenir les menaces liées à la sécurité du cloud et du code, certains obstacles se dressent devant eux. Les trois principaux obstacles sont les priorités concurrentes, le budget et la complexité.

Priorités concurrentes

La réponse la plus fréquente est la concurrence des priorités (40 %). Qu'est-ce que cela signifie pour les défis en matière de sécurité ? Bien que les directeurs techniques considèrent la sécurité comme une priorité absolue, il existe d'autres préoccupations tout aussi importantes, voire potentiellement plus importantes, au sein d'une entreprise. Par exemple, la course aux nouvelles fonctionnalités par rapport aux problèmes de sécurité qui les entourent est un exercice d'équilibre en matière de cybersécurité.

Comme la sécurité est souvent un bon investissement à long terme, mais qu'elle a moins d'impact au quotidien, il est facile de déprioriser le travail.

Contraintes budgétaires

Le deuxième obstacle est constitué par les contraintes budgétaires (33 %). Le principal défi consiste à prouver le retour sur investissement que les mesures de sécurité apportent à l'entreprise. Ou, comme le dit un directeur technique, "justifier l'investissement dans la sécurité du cloud". Cela peut également être lié à la privatisation quotidienne mentionnée ci-dessus.

Complexité

La complexité remporte la palme (27 %). Le problème réside dans la multiplicité des menaces potentielles. Les classer par ordre de priorité devient un fardeau et un défi. Il est donc facile de perdre de vue les menaces les plus importantes.

Quel est votre degré de satisfaction à l'égard de vos solutions actuelles pour prévenir les menaces à la sécurité du code et de l'informatique en nuage ?

La note moyenne est de 6,4 et un tiers des directeurs techniques ont évalué leur satisfaction à l'égard des solutions actuelles à 5 ou moins. Seuls 20 % sont très satisfaits, avec une note de 8 ou 9, tandis que 0 % obtient une note parfaite de 10. L'essentiel est de comparer ces résultats avec le niveau de priorité beaucoup plus élevé qu'ils accordent à la prévention des menaces. Nous constatons un écart notable et inquiétant entre l'importance et la satisfaction.

Quelles autres solutions de sécurité utilisez-vous et quelles sont leurs faiblesses ?

Les solutions de sécurité actuelles comprennent un large éventail de produits disponibles sur le marché. Les directeurs techniques ont mentionné 11 produits, SonarQube étant le plus utilisé (33 %). Par ailleurs, pas plus de 13 % des directeurs techniques utilisaient les mêmes produits au moment de notre enquête.

Tarification et modèles de tarification

40 % des directeurs techniques ont indiqué que le plus gros défaut concerne les prix élevés et les modèles de tarification. L'un d'entre eux fait état d'un prix astronomique, "payant aujourd'hui des logiciels dans les six chiffres". Un autre s'interroge sur la viabilité à long terme de la tarification à la ligne : "Les modèles de tarification qui suivent le nombre de lignes de code sont une source d'inquiétude pour l'avenir".

Faux positifs

33 % ont signalé des faux positifs, c'est-à-dire des alertes qui identifient par erreur une vulnérabilité ou une activité malveillante. Nous pouvons tous comprendre les frustrations qui en découlent : la lassitude des alertes et le gaspillage des ressources dû aux faux positifs.

D'autres lacunes dans les solutions actuelles

Parmi les autres défauts, citons les difficultés liées à l'évaluation des risques, la complexité de l'installation et de la maintenance, l'absence d'adéquation entre la technologie et la pile, et la protection limitée.

Un directeur technique met le doigt sur les frustrations liées à la nécessité d'utiliser plusieurs solutions de sécurité :

Je ne connais aucune solution qui couvre plusieurs scénarios, ce qui signifie qu'en tant que directeur technique, je m'attends à ce que le logiciel-service que nous utilisons actuellement pour des analyses de sécurité automatisées de notre base de code ne soit certainement pas la même chose qu'une solution qui assure la conformité avec l'un de nos fournisseurs de services en nuage.

Que nous apprennent les avis des directeurs techniques sur les failles actuelles des logiciels de sécurité ?

Voici ce qu'il faut retenir. Les directeurs techniques sont à la recherche d'un guichet unique pour les logiciels de sécurité du code et de l'informatique en nuage :

• des prix raisonnables
• l'absence de faux positifs
• une installation simple, et
• un entretien sans souci.

Quels sont les plus grands défis en matière de sécurisation du code et de l'informatique dématérialisée ?

Les principaux défis auxquels sont confrontés les directeurs techniques de SaaS sont l'opposition au sein de l'entreprise, l'excès d'informations à traiter, l'évolution des menaces et la complexité d'une couverture complète.

Opposition interne

40 % ont déclaré que le principal défi était d'ordre interne : le manque de sensibilisation ou d'autres priorités se traduisent par des ressources limitées. Cela confirme les deux principaux obstacles à la prévention des menaces mentionnés précédemment (priorités et budget).

Le plus grand défi consiste à changer l'état d'esprit des organisations et à leur faire comprendre que la sécurité est une caractéristique et qu'il faut y investir en permanence.

La gestion du changement est notoirement difficile. Et la sensibilisation à des changements significatifs d'attitude et de stratégie peut s'avérer un défi encore plus difficile à relever.

Trop de bruit

La surcharge d'informations est une réalité. 27 % des directeurs techniques déclarent que le tri entre les informations est le deuxième défi le plus important. Il n'est pas facile de comprendre quelles sont les menaces à prioriser ou à explorer, ni comment les traiter. Une fois de plus, si des faux positifs sont présents, il peut y avoir des impasses, des inefficacités et un travail malavisé.

Il semble y avoir un nombre illimité de données dans les journaux, mais aucun moyen de gérer ce qu'elles signifient, par qui et comment elles doivent être traitées.

Évolution, couverture et complexité des menaces

L'évolution, la couverture et la complexité des menaces ont été classées comme des défis de moindre importance. Cependant, ils confirment toujours certains des obstacles et des failles identifiés plus tôt dans l'enquête.

Les menaces de sécurité ne sont pas stagnantes - elles évoluent et tendent à garder une longueur d'avance sur les solutions de sécurité. Cela signifie que vos vulnérabilités évoluent également, ce qui peut parfois ressembler à un jeu de piste.

Les méthodes des attaquants sont de plus en plus sophistiquées et de nouvelles vulnérabilités sont découvertes régulièrement.

Les CTO ont également souligné les difficultés rencontrées pour confirmer certaines des failles identifiées dans leurs solutions actuelles. Ils déclarent recevoir une couverture incomplète, ce qui crée un faux sentiment de sécurité. Et dans le domaine de la sécurité, ce n'est tout simplement pas suffisant !

Bien qu'ils tentent de donner un sentiment de sécurité, je crains qu'ils ne nous protègent pas réellement contre la majorité des menaces.

Une couverture incomplète est liée à la nécessité, ou à la perception de la nécessité, d'une mosaïque de solutions diverses :

Il y a trop de pièces mobiles. Qu'il s'agisse des systèmes et logiciels de développement initial, du processus CICD, de l'infrastructure des applications ou des référentiels de données, ... ils ne s'intègrent pas dans une approche holistique de solution de posture de sécurité.

Quels sont les résultats commerciaux souhaités par les directeurs techniques ? Qu'est-ce qui importe le plus aux directeurs techniques en matière de sécurité du cloud et du code ?

Nous avons posé ces deux questions pour savoir quels étaient leurs objectifs stratégiques et ce qui comptait le plus pour les atteindre.

Résultats souhaités

Les directeurs techniques ont classé les trois principaux résultats stratégiques de la manière suivante :

1. Protéger la réputation de la marque et la confiance des clients (47%)
2. Les données sensibles sont protégées, ce qui signifie qu'il n'y a pas de violation de données (33%)
3. Être couvert pour la conformité (20 %)

Qu'est-ce qui compte le plus ?

Et, pour mettre en œuvre ces résultats souhaités, ce qui importait le plus aux CTO étaient les éléments suivants (vous pouvez en choisir plus d'un pour cette question) :

1. Peu d'entretien (53%)
2. Fiabilité / Pas de faux positifs (40%)
3. Des rapports clairs et efficaces (33%)

Avez-vous remarqué ce que nous avons remarqué ? Ces conclusions sont similaires à celles que nous avons tirées de la question sur les failles des solutions de sécurité actuelles.

Mais qu'en est-il de la tarification ?

Cependant, un rapport clair et efficace remplace un prix raisonnable dans la liste ci-dessus par rapport aux apprentissages par défaut. Ainsi, en contradiction avec les commentaires et les choix concernant le prix et le budget plus tôt dans l'enquête, seulement 7% ont donné la priorité au prix dans cette question. Qu'est-ce que cela signifie ?

Décortiquons la perplexité liée à la tarification. Nous interprétons cela comme signifiant que le prix est un défi et un obstacle lorsque le logiciel de sécurité ne répond pas aux attentes. Mais si la solution de sécurité est précise, facile à maintenir, qu'elle démystifie la complexité grâce à des rapports simples et qu'elle aide à atteindre les objectifs les plus élevés, à savoir protéger la réputation de la marque, susciter la confiance des clients et assurer la sécurité des données tout en respectant les normes de conformité, le prix devient moins bloquant et plus facile à justifier.

Les caractéristiques les plus importantes lors du choix d'un logiciel de sécurité du code et de l'informatique en nuage

Nous avons également demandé aux CTO SaaS quelles étaient les caractéristiques techniques les plus importantes à leurs yeux. Ils ont classé cinq affirmations comme suit (notes sur 4) :

1. Détection d'une mauvaise configuration du nuage - 3,67 (33 % l'ont classé premier)
2. Analyse des vulnérabilités à partir de sources ouvertes - 3,53 (33% l'ont classé premier)
3. Détection des secrets (clés API, mots de passe, certificats, etc.) - 3,53 (plus de 53 % ont classé cette fonction en deuxième position)
4. Analyse statique du code via les plateformes CI/CD - 2,93
5. Analyse des licences Open Source - 1.33 (80% l'ont classé dernier)

Lesquelles de ces caractéristiques de sécurité sont les plus importantes pour vous ? Y en a-t-il d'autres que vous souhaiteriez voir figurer dans votre solution de sécurité ?

Vous voulez un produit qui résout vos problèmes de sécurité du code et de l'informatique en nuage ?

Par-dessus tout, lorsqu'on leur a demandé ce qu'ils aimeraient accomplir à l'avenir, les directeurs techniques ont placé la déclaration suivante en tête de liste :

Je veux me sentir totalement à l'abri des menaces qui pèsent sur la sécurité de l'informatique en nuage et du code.

C'est de la musique pour nos oreilles. Willem, notre directeur technique, était confronté à ce problème dans ses entreprises précédentes. Ce problème l'a poussé à créer la bonne solution. C'est précisément ce que nous sommes en train de construire avec Aikido.

Notre solution rassemble les meilleurs outils de sécurité des logiciels libres. Cela vous permet de couvrir tous les domaines pertinents. Aikido vous montre également quels sont les problèmes et les vulnérabilités qui comptent vraiment et ceux que vous devez résoudre. Pas de faux positifs ici !

Voyez par vous-même comment Aikido peut aider un directeur technique à relever les défis liés à la sécurité du cloud et du code. Testez Aikido gratuitement ou contactez-nous.

Dans un paysage numérique en constante évolution, la sécurité des applications est une nécessité. L'un des moyens les plus efficaces de renforcer la sécurité de votre application est de l'évaluer à l'aide du Top 10 de l'OWASP. Mais qu'est-ce que le Top 10 de l'OWASP et en quoi est-il important pour vous ?

OWASP Top 10 : un cadre pour la sécurité du web

L'Open Web Application Security Project(OWASP) est une fondation à but non lucratif qui s'efforce de rendre les logiciels sur le web plus sûrs. Son Top 10 est un rapport largement reconnu qui décrit les 10 risques les plus critiques en matière de sécurité des applications web. Il s'agit essentiellement d'une liste de contrôle des faiblesses les plus courantes qui pourraient faire de votre application une cible pour les cybermenaces.

Pourquoi s'intéresser au Top 10 de l'OWASP ?

Le Top 10 de l'OWASP concerne la gestion des risques. La prise en compte des vulnérabilités mises en évidence dans le Top 10 de l'OWASP vous aide à réduire le risque de violation de la sécurité, à développer un code plus sûr et à créer une application plus sécurisée.

Suivre le Top 10 de l'OWASP est également une décision intelligente pour adhérer aux normes réglementaires et donner confiance aux utilisateurs dans votre engagement envers les meilleures pratiques de sécurité. Si votre application traite des données sensibles, vos utilisateurs veulent savoir qu'elle est sûre.

La liste de contrôle de l'OWASP est mise à jour tous les trois ou quatre ans. La dernière mise à jour date de 2021. Des regroupements, des renommages et des réorganisations ont lieu à chaque fois, car les vulnérabilités et les menaces augmentent et diminuent en gravité. Être conscient des dangers actuels peut vous aider à savoir par où commencer et quels sont les risques critiques qui nécessitent une attention immédiate.

Jetons un coup d'œil à la liste de contrôle la plus récente.

Les 10 principaux risques de sécurité des applications Web selon l'OWASP

1. Contrôle d'accès défaillant

Souvent, les restrictions imposées aux utilisateurs authentifiés ne sont pas appliquées. Les pirates peuvent exploiter ces failles pour accéder à des fonctionnalités et/ou des données non autorisées. Ils peuvent être en mesure d'accéder à d'autres comptes d'utilisateurs, de consulter des fichiers sensibles, de modifier ou de détruire des données et de changer les droits d'accès. Ils peuvent même se retrouver avec des droits d'administrateur sur l'ensemble du système. Le Top 10 de l'OWASP insiste sur une règle essentielle : sauf pour les ressources publiques, refuser par défaut.

2. Défaillances cryptographiques

De nombreuses applications web ne protègent pas correctement les données sensibles, telles que les cartes de crédit, les identifiants d'authentification, les dossiers médicaux et autres données personnelles. Les attaquants peuvent voler ou modifier des données faiblement protégées pour commettre des fraudes à la carte de crédit, des usurpations d'identité ou d'autres délits. Pour les entreprises, la propriété intellectuelle et les autres secrets d'affaires doivent être protégés. Veillez à évaluer les besoins de protection des données en transit et au repos. Et évaluez régulièrement les faiblesses de tous les protocoles et algorithmes.

3. L'injection

Les failles d'injection se produisent lorsqu'une application envoie des données non fiables dans le cadre d'une commande ou d'une requête. Les attaquants peuvent inciter l'interpréteur à exécuter des commandes non voulues ou à accéder à des données non autorisées, ce qui entraîne une perte de données, une corruption ou un accès non autorisé. L'examen du code source vous sera utile à cet égard, de même que l'utilisation rigoureuse d'outils de test de la sécurité des applications avant le déploiement en production.

4. Conception non sécurisée

L'OWASP recommande fermement que la sécurité commence avant tout codage. Les défauts de conception ou d'architecture peuvent compromettre une application même si elle est mise en œuvre de manière sécurisée. Cette phase de précodage doit inclure davantage de modélisation des menaces, de modèles et de principes de conception sécurisés et d'architectures de référence. Elle doit impliquer un équilibre entre les exigences commerciales et techniques, ainsi qu'un regard froid et dur sur le profil de risque de l'entreprise.

5. Mauvaise configuration de la sécurité

Le risque de mauvaise configuration fait référence à une mauvaise mise en œuvre des contrôles visant à assurer la sécurité des données de l'application, comme des erreurs dans les paramètres de sécurité, les mises à jour logicielles, les fichiers de configuration du serveur, ou les fonctions et les pages de l'application. Vous pouvez grandement contribuer à atténuer ces risques en gardant le cap sur une plateforme minimale. N'incluez pas de fonctions, de cadres et de composants inutiles. Selon le Top 10 de l'OWASP, l'essentiel est de désactiver les comptes et les mots de passe par défaut, de veiller à ce que le traitement des erreurs ne révèle pas trop d'informations et de tout patcher et mettre à jour.

6. Composants vulnérables et obsolètes

Les composants, tels que les bibliothèques, les frameworks et autres modules logiciels, s'exécutent avec les mêmes privilèges que l'application. Si un composant vulnérable est exploité, une attaque peut entraîner de graves pertes de données, voire une prise de contrôle complète du serveur. Vous devez connaître les versions que vous utilisez, tant du côté client que du côté serveur, rechercher régulièrement les vulnérabilités et suivre les bulletins de sécurité. Mais surtout, selon l'OWASP, ne vous contentez pas d'appliquer des correctifs tous les mois ou tous les trimestres, car cela expose votre application à des risques.

7. Défauts d'identification et d'authentification

Si les fonctions d'authentification et de gestion des sessions de votre application ne sont pas mises en œuvre correctement, les attaquants peuvent compromettre les mots de passe, les clés ou les jetons de session, ou exploiter d'autres défauts de mise en œuvre pour assumer d'autres identités. Le Top 10 de l'OWASP met en garde contre la faiblesse des mots de passe, la réutilisation des identifiants de session, la faiblesse des processus de récupération ou l'autorisation d'attaques automatisées. Si vous le pouvez, l'authentification multifactorielle est la solution à adopter, ainsi qu'une série de mesures d'authentification simples et sensées.

8. Défauts d'intégrité des logiciels et des données

Des défaillances dans l'intégrité des logiciels et des données peuvent se produire lorsque les applications dépendent de sources non fiables, comme des plugins ou des bibliothèques. De même, des pipelines CI/CD non sécurisés peuvent conduire à un accès non autorisé, voire à une compromission du système. Un autre risque provient des fonctions de mise à jour automatique qui ne vérifient pas suffisamment l'intégrité et des méthodes non sécurisées d'organisation des structures de données. Pour prévenir ces risques, votre équipe devrait utiliser des signatures numériques. Celles-ci peuvent confirmer la sécurité d'un logiciel ou de données. Veillez à n'utiliser que des référentiels de confiance pour les bibliothèques et les dépendances. Vous devriez également mettre en œuvre des outils de sécurité de la chaîne d'approvisionnement des logiciels pour vérifier les vulnérabilités connues. L'OWASP suggère de maintenir un processus de révision pour les changements de code et de configuration et de mettre en place un contrôle d'accès approprié pour le pipeline CI/CD. Enfin, n'envoyez pas de données sérialisées non signées ou non chiffrées à des clients sans en avoir vérifié l'intégrité ou ajouté une signature numérique.

9. Défaillances dans l'enregistrement et la surveillance de la sécurité

Une journalisation et une surveillance insuffisantes, combinées à une intégration manquante ou inefficace avec la réponse aux incidents, permettent aux attaquants de s'en prendre aux systèmes, de maintenir la persistance, de passer à d'autres systèmes et d'altérer, d'extraire ou de détruire des données. Parmi d'autres mesures, le Top 10 de l'OWASP suggère d'enregistrer tous les événements tels que les connexions et les échecs de connexion, les avertissements et les erreurs doivent générer des messages clairs, et les journaux ne doivent jamais être stockés uniquement localement. Le fait de rendre les événements de journalisation et d'alerte visibles pour l'utilisateur est également une source de risque.

10. Falsification des requêtes côté serveur

Les problèmes de falsification des requêtes côté serveur (SSRF) surviennent lorsqu'une application web récupère des données à partir d'une source distante sans vérifier l'URL donnée par l'utilisateur. Cela peut permettre aux attaquants de tromper une application en lui faisant faire des requêtes à des endroits non désirés, même en passant outre les mesures de sécurité du réseau. L'OWASP estime que ces problèmes sont de plus en plus fréquents car les applications web modernes ont souvent besoin de récupérer des URL. Les risques s'aggravent en raison de l'utilisation de services en nuage et de systèmes complexes. Là encore, l'approche "deny-by-default" (refus par défaut) au niveau de l'accès au réseau est votre amie. Il existe également toute une série de mesures à prendre au niveau de la couche applicative.

J'ai écrit un blog sur un cas d'utilisation réel, n'hésitez pas à le consulter.

Pourquoi utiliser le Top 10 de l'OWASP ?

Le Top 10 de l'OWASP n'est pas seulement une liste de problèmes, c'est aussi un guide de solutions. Chaque élément de la liste de contrôle comprend une section sur la manière de prévenir la vulnérabilité et des exemples de scénarios d'attaque qui fournissent aux développeurs des mesures pratiques pour améliorer la sécurité de leur application. La sécurisation de votre application est un processus continu et de nouvelles menaces apparaissent en permanence. En restant vigilant et en faisant de la sécurité une priorité, vous pouvez assurer la sécurité de votre application et de vos utilisateurs.

Pour les entreprises, le Top 10 de l'OWASP n'est pas qu'une simple liste de contrôle, c'est un outil qui permet d'engager la conversation. C'est un outil qui met la sécurité au premier plan du processus de développement, favorisant une culture de sensibilisation à la sécurité au sein de votre organisation. En vous concentrant sur le Top 10 de l'OWASP, vous ne vous contentez pas d'améliorer la sécurité de votre application, vous faites de la sécurité un élément central de votre processus de développement.

Si vous êtes une entreprise " cloud-native ", Aikido vous permet désormais d'analyser facilement votre environnement de développement pour détecter les vulnérabilités du Top 10 de l'OWASP. Nos outils de test et nos rapports de sécurité vous donnent un score OWASP Top 10 clair et une analyse des mesures prises pour prévenir chaque vulnérabilité. Vous pouvez partager les rapports avec les parties prenantes et les utiliser pour obtenir un aperçu rapide des pratiques de sécurité sur lesquelles vous devez vous concentrer.

Scannez votre environnement avec Aikido dès maintenant pour obtenir votre score OWASP Top 10.

Comment éviter les erreurs courantes lors de la création d'un panneau d'administration SaaS ? Nous allons vous présenter quelques pièges et des solutions potentielles spécifiquement pour tous les créateurs de SaaS !

Que se passe-t-il lorsque vous créez une application SaaS qui a plus de quelques clients ? À un moment donné, l'inévitable se produit ! Les responsables des ventes et de la satisfaction de la clientèle se présentent à l'équipe de développement avec des exigences telles que :

• Montrez-moi quels sont les comptes activement utilisés
• Me permettre d'entrer dans un compte client pour l'assistance technique
• Activer ou désactiver un indicateur de fonctionnalité spécifique pour un compte donné
• Certains utilisateurs ne peuvent pas se connecter, pouvez-vous me dire quelle méthode ils utilisent pour s'authentifier ?
• J'ai un revendeur qui a besoin d'accéder à ses sous-comptes.
• Je dois prolonger la période d'essai gratuite d'un compte
• Un compte a besoin d'une configuration spécifique que seuls les agents du service clientèle doivent pouvoir mettre en place.
• Montrez-moi le MRR total pour un groupe spécifique de clients.

Une variété d'outils peut couvrir certains de ces cas d'utilisation. Les outils de PLG tels que Segment et journy.io permettent de suivre l'activité. Peut-être utilisez-vous un service de signalement des fonctionnalités tel que LaunchDarkly. Stripe ou Chargebee peuvent gérer certains aspects liés à la facturation. Pendant ce temps, les problèmes liés à l'authentification peuvent être visibles dans votre compte Auth0. Cependant, il est peu probable que vous utilisiez toutes ces plateformes. Même si c'est le cas, vous ne pouvez probablement pas couvrir certains cas d'utilisation.

La solution consiste à créer un panneau d'administration personnalisé. Il semble qu'il y ait quelques frameworks et services commerciaux disponibles pour commencer rapidement. Mais comment choisir l'un d'entre eux plutôt que de créer son propre panneau à partir de zéro ?

Éviter les panneaux d'administration intégrés à l'application

En premier lieu, nous recommandons d'éviter tout panneau d'administration injecté dans le code de votre application principale, comme le fait ActiveAdmin. Cela présente de nombreux inconvénients :

• Les nouvelles routes de l'API d'administration peuvent probablement être détectées dans le code client de votre application et les attaquants peuvent sonder ou attaquer cette vulnérabilité.
• Vous finirez probablement par avoir plusieurs types d'utilisateurs au sein d'une même base de code, ce qui compliquera les révisions du contrôle d'accès.
• Il sera beaucoup plus difficile d'ajouter des fonctions de protection supplémentaires, telles que la restriction de l'accès à partir d'une seule adresse IP.
• Si un problème critique est détecté dans le code du panneau d'administration, il est plus difficile de le mettre hors ligne sans mettre votre application hors ligne.

Les applications qui ne respectent pas ce principe ont plus de chances de se retrouver dans les articles de Slashdot. En voici une : https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates. Cette histoire montre notamment qu'il est possible de transformer un compte d'utilisateur en un compte de super-administrateur qui peut consulter les données d'autres utilisateurs.

Choisir un panneau d'administration avec un journal d'audit des actions de l'utilisateur

Au cas où cela devrait être dit, cela signifie que vos administrateurs devront s'authentifier avec des comptes d'utilisateurs distincts. (Pas de connexion avec un mot de passe partagé en utilisant support@app.io !). Quel en est l'avantage ? Si les paramètres d'un compte sensible sont mis à jour, vous pouvez savoir plus tard qui a effectué le changement.

Appliquer au moins 2FA (ou 3FA) pour authentifier les utilisateurs administrateurs

Choisissez une solution de panneau d'administration qui vous permet d'ajouter des facteurs supplémentaires en plus du 2FA, tels que des restrictions d'IP ou l'accès via d'autres solutions de confiance zéro.

Bonus : Utiliser les en-têtes de la politique de sécurité du contenu (CSP) pour bloquer le javascript inconnu

Le blocage du javascript inconnu est essentiel, en particulier sur les portails d'administration internes. Ci-dessous, un exemple de la vulnérabilité d'Apple à l'injection de courrier électronique, qui aurait pu être résolue avec de simples en-têtes CSP.

Ce tweet m'a rappelé l'époque où je piratais dans le cadre du programme de récompense des bugs d'Apple. J'ai trouvé, entre autres, une citation d'Harry Potter encodée en base64 sur une page interne de débogage et d'administration d'un compte iCloud. C'est la première fois que je partage ceci, car plus de 90 jours se sont écoulés ... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- Sam Curry (@samwcyo) 24 décembre 2023

Conclusions sur la création d'un panneau d'administration sécurisé

Oui, il est possible de créer un panneau d'administration sécurisé pour votre application. Vous devrez choisir soit un framework pour vous aider, soit une solution SaaS ou low-code existante pour vous aider à démarrer. Tant que vous le séparez de votre application principale et qu'il communique avec elle par le biais d'API privées, tout devrait bien se passer.

Aikido est un outil de sécurité applicative tout-en-un. Vous voulez savoir si votre application est sécurisée ? Commencez à scanner gratuitement.