Bienvenue sur notre blog.

Pourquoi êtes-vous ici ?

Ne perdons pas de temps. Vous êtes ici parce que vous êtes en train de construire une fonctionnalité webhook dans votre application. Malheureusement, il y a pas mal de choses qui peuvent mal tourner du point de vue de la sécurité. Cet article a pour but de s'assurer que vous ne commettez pas d'erreurs bien connues lors de la création de webhooks.

Comment fonctionnent les webhooks ?

Pour rappel, les webhooks sont des requêtes HTTP(S) adressées à des tiers pour les informer d'un événement survenu dans votre application. Par exemple, si vous proposez une application qui génère des factures, vous pouvez offrir à vos clients la possibilité de configurer une fonctionnalité de webhook qui se déclenche lorsqu'une nouvelle facture est créée. Cela signifie que lorsque la facture est créée, votre application envoie une requête HTTP(S) à un emplacement déterminé par l'utilisateur. L'utilisateur peut l'utiliser pour mettre en place ses propres flux de travail personnalisés qui sont déclenchés par le webhook, comme la programmation d'e-mails de rappel ou l'envoi au client d'un message sur Slack.

Liste de contrôle : sécuriser les implémentations de webhooks

1. Défaite des attaques de type SSRF

Dans ce type d'attaque, le pirate tente d'obtenir des informations (par exemple, les métadonnées d'une instance dans un nuage) en exploitant la fonction webhook. Pour contrer cette attaque, vous devez prendre les mesures suivantes.

✅ Valider les données de l'utilisateur

• Basic : Effectuer une validation simple de l'URL.
• Mieux : S'assurer que l'URL commence par "https://", interdire "file://" et d'autres schémas non HTTP.

✅ Restreindre les adresses locales

• Bloquer les IP locales typiques : 127.0.x, 192.168.x, 172.x.
• Interdire "localhost" et "http://"

✅ Limite d'exposition logarithmique

• Afficher uniquement les codes d'état HTTP dans les journaux destinés aux utilisateurs.
• Évitez d'afficher les en-têtes ou le corps du texte.

✅ Avancé : Validation améliorée des URL

• Exiger un en-tête de réponse spécifique pour les requêtes POST, propre au client.
• Maintenez cette vérification en permanence, même après la configuration initiale, pour contrer les changements de DNS.

2. Permettre aux utilisateurs de vérifier l'authenticité des données

Le consommateur de votre webhook doit avoir un moyen de savoir que les données proviennent réellement de votre application. Vous pouvez utiliser l'une des méthodes suivantes.

✅ Vérification du message de test

Premièrement, permettre aux utilisateurs de déclencher un message de test pour tester les mécanismes de sécurité.

✅ Hash de vérification HMAC

L'un des mécanismes de sécurité les plus efficaces pour les fonctionnalités des webhooks est la mise en œuvre de HMAC pour l'intégrité et l'authenticité des données.

Le processus de base peut être résumé comme suit :

• Générer un hachage de la charge utile à l'aide de SHA-256 et d'une clé secrète.
• Envoyer le HMAC avec la charge utile.
• Les destinataires recréent le hachage pour vérifier l'authenticité et l'intégrité de la charge utile.

✅ Inclusion de l'horodatage

Il s'agit plutôt d'une mesure de sécurité avancée. Ajouter un horodatage à la charge utile pour empêcher les attaques par rejeu. Permet de s'assurer que les messages ne sont pas réutilisés ou modifiés.

Certificats TLS côté client

Authentifier les appels HTTP à l'aide de certificats TLS côté client. Cette solution est particulièrement intéressante pour les entreprises.

3. Limiter le débit et éviter la surexposition des données

En ce qui concerne la sécurité des webhooks, il est plus sûr d'envoyer trop peu de données que d'en joindre trop. Même si les rappels de webhook doivent être cryptés à l'aide de HTTPS, on ne peut jamais savoir qui contrôlera un nom de domaine après quelques années.

✅ Minimiser l'exposition aux données

• Évitez d'envoyer des informations personnelles identifiables (IPI) ou des données sensibles.
• Au lieu d'envoyer plusieurs points de données (comme l'identifiant du contact, l'adresse électronique, le nom), envoyez uniquement l'identifiant du contact. Laissez les utilisateurs récupérer des données supplémentaires via votre API publique si nécessaire.

Communication sur la politique de réessai

• Communiquer clairement aux utilisateurs la politique de relance et les limites de débit.
• Informez-les qu'en raison des nouvelles tentatives, les messages peuvent arriver dans le désordre.
• Définir que toute réponse 2xx est un succès ; les autres réponses doivent déclencher une nouvelle tentative.

✅ Utiliser un système de file d'attente pour la livraison

Mettez en place un système de file d'attente pour gérer la livraison des webhooks et limiter la production. Cette approche permet d'éviter de submerger accidentellement les serveurs de vos utilisateurs dans les cas extrêmes, comme une importation CSV importante qui déclenche un nombre excessif d'appels de webhook et de tentatives.

4. Bonus : alerte en cas d'anomalie

C'est plus une question de commodité pour le développeur que de sécurité, mais c'est une bonne chose à mettre en œuvre.

• Alerter les utilisateurs en cas de réponses 4xx et 5xx
• Envoyer des notifications pour informer les utilisateurs de toute défaillance

Cet ajout améliore la transparence et la réactivité de votre système de webhook.

Conclusion

Et voilà ! Nous avons couvert quelques étapes pour rendre vos webhooks non seulement fonctionnels, mais aussi sécurisés et conviviaux. La mise en œuvre de ces étapes protégera votre application et améliorera également l'expérience globale de l'utilisateur. Bon codage ! 🚀🔒👨‍💻

Aikido Security est une plateforme de sécurité logicielle centrée sur le développeur. Nous vous aidons à sécuriser votre produit afin que vous puissiez vous concentrer sur l'écriture du code. Vousn'avez pas besoin de parler à une équipe de vente. il vous suffit de connecter votre compte GitHub, GitLab, Bitbucket ou Azure DevOps pour commencer à scanner vos dépôts gratuitement.

La plupart des outils de sécurité font perdre du temps aux développeurs. Nous avons pour mission d'y remédier.

Les développeurs d'applications ne sont pas payés pour se préoccuper de la sécurité. Leur performance est mesurée par la vitesse à laquelle ils peuvent ajouter de la valeur à l'entreprise grâce à de nouvelles fonctionnalités ou à des améliorations.

Les outils de sécurité traditionnels sont donc un obstacle, car ils ne sont pas conçus pour les développeurs - et ils ne sont pas non plus conçus pour être utiles. Leur tâche consiste simplement à afficher une liste massive d'alertes de sécurité, laissant au développeur le soin de comprendre le reste.

Chez Aikido, notre mission est de rendre la sécurisation des applications aussi rapide et indolore que possible, et l'une des façons les plus importantes d'y parvenir est de réduire le bruit et les faux positifs qui font perdre du temps aux développeurs et entraînent des retards dans la livraison des correctifs de sécurité.

Ce billet vous montrera ce que fait l'Aïkido pour offrir un remède aux développeurs souffrant du Syndrome d'Alerte Fatigue.

Réduire le bruit

Dans sa célèbre chanson "The Gambler", Kenny Rogers l'a très bien décrite :

"Le secret de la survie, c'est de savoir ce qu'il faut jeter et ce qu'il faut garder."

L'impact le plus important que vous puissiez avoir sur le rapport signal/bruit est de ne montrer aux développeurs que les CVE et les alertes de sécurité sur lesquelles ils doivent agir et d'ignorer le reste.

Voici comment Aikido ignore intelligemment les alertes de sécurité et les CVE non pertinents :

Dépendances réservées au développement

Par défaut, Aikido ne signale pas les vulnérabilités des dépendances marquées uniquement pour l'installation dans les environnements de développement, car elles ne devraient pas être présentes dans les environnements de production ou de stockage.

CVE invalides ou sans correctif

Afficher un CVE sans correctif n'est qu'une distraction. C'est pourquoi Aikido les place temporairement sur une liste de problèmes ignorés jusqu'à ce qu'un correctif soit disponible avant de les afficher dans le tableau de bord.

Code inaccessible

Le moteur d' intelligence du code et d'accessibilité d' Aikido ignorera une CVE si la fonction vulnérable n'est pas appelée dans la base de code.

Cela réduit le bruit, en particulier pour les grandes bibliothèques avec de nombreuses dépendances, telles que TensorFlow.

Secrets expirés ou révoqués

Aikido ignore les secrets qui ont été vérifiés comme étant expirés ou révoqués, ou qui semblent être des variables. Aikido vérifie en toute sécurité la validité des types de secrets connus en envoyant une requête à un point de terminaison de l'API nécessitant une autorisation et ne produisant pas de données sensibles.

Règles d'ignorance manuelle

Vous pouvez configurer Aikido pour qu'il ignore les vulnérabilités sous certaines conditions, par exemple pour qu'il ignore les rapports concernant des chemins spécifiques dans un référentiel.

Déduplication

Comme la plupart des entreprises assemblent leur infrastructure de sécurité à partir de plusieurs sources différentes, il est courant que plusieurs systèmes fassent apparaître la même alerte ou le même CVE - de plus, il est courant que les outils traditionnels fassent apparaître le même CVE plusieurs fois au sein d'un même référentiel. C'est ce qu'on appelle du bruit !

Parce qu'Aikido est une plateforme tout-en-un qui vous offre une vue d'ensemble de tous les problèmes de sécurité, vous ne verrez qu'une seule alerte CVE pour chaque dépôt, avec des sous-questions indiquant l'emplacement de chaque vulnérabilité.

Renforcer le signal grâce à l'ajustement de la sensibilité contextuelle

Un problème de sécurité découvert dans un référentiel traitant des données sensibles doit être évalué différemment d'un référentiel interne qui ne conserve aucune donnée.

Aikido fournit divers indicateurs contextuels pour chaque référentiel, ce qui permet de découvrir davantage de risques de sécurité et de pondérer de manière appropriée le score de gravité final d'un problème.

Par exemple, en ajoutant un nom de domaine, Aikido peut effectuer des analyses ciblées pour des problèmes tels que les vulnérabilités SSL, les mauvaises configurations de cookies, si un CSP a été appliqué, et les attaques de type cross-site scripting (XSS).

D'autres exemples contextuels incluent l'accès à l'internet et les environnements dans lesquels l'application est déployée.

Renforcer le signal de risque d'exploitation

Aikido utilise des indicateurs en temps réel pour suivre la probabilité qu'un CVE soit exploité dans la nature, tels que les cas confirmés d'exploitation, le code public documentant la manière de réaliser l'exploit, et tout problème d'infrastructure cloud spécifique au client qui pourrait le rendre particulièrement vulnérable.

Et parce qu'Aikido surveille à la fois votre code et votre infrastructure cloud, il peut augmenter la gravité des problèmes de "combinaison toxique" découlant des conditions spécifiques dans lesquelles votre application est hébergée, par exemple les instances AWS utilisant l'API IMDS version 1 sont plus vulnérables aux exploits SSRF qui peuvent exposer les informations d'identification AWS.

Résumé

Les outils de sécurité traditionnels ne se soucient pas de la productivité des développeurs. Ils sont plus qu'heureux d'enterrer un référentiel sous une pile de faux positifs, faisant perdre aux développeurs un temps qu'ils auraient pu consacrer à la résolution des problèmes de sécurité.

Ce qui différencie Aikido, c'est que nous voyons le lien entre la productivité des développeurs et la sécurité. En supprimant les alertes et les CVE non pertinentes, les menaces réelles reçoivent plus d'attention et, par conséquent, les correctifs sont appliqués plus rapidement.

Cette situation gagnant-gagnant pour les développeurs et la sécurité est notre raison d'être et c'est ainsi que nous guérissons le syndrome de fatigue des alertes de sécurité pour nos clients.

Vous voulez le voir à l'œuvre ? Inscrivez-vous pour scanner vos premiers dépôts et obtenez vos premiers résultats en moins de 2 minutes.

C'est une question que nous posent souvent nos clients. La formulation de la directive NIS2 n'est pas toujours très explicite. NIS2 est un cadre que les pays doivent mettre en œuvre. Comme il s'agit d'une directive et non d'un règlement, chaque pays de l'UE est libre de l'appliquer selon sa propre interprétation.

Le langage de NIS2 est large, ce qui le rend difficile à comprendre, en particulier jusqu'à ce que les pays publient leurs spécificités. Toutefois, nous répondrons aussi clairement que possible aux questions concernant les entreprises actuellement concernées par le NIS2.

Autocontrôle rapide du NIS2 par l'Aikidopour savoir si vous êtes dans le champ d'application de la directive

Nous aimons que les choses soient pratiques et directes. Aussi, pour vous faciliter la tâche, voici notre auto-vérification rapide en 5 étapes pour savoir si vous êtes dans le champ d'application du NIS2 :

1. Votre entreprise travaille-t-elle dans un secteur "essentiel" ou "important" ?
2. Vérifiez si vous faites partie d'un sous-secteur.
3. Êtes-vous dans les limites de la taille requise ?
4. Si vous avez répondu "non" aux questions 1, 2 et 3, vérifiez à nouveau que vous n'êtes pas une exception (conseil de pro : vous devrez peut-être demander l'avis d'un conseiller juridique pour plus de sûreté).
5. Et si vous avez répondu "non" à toutes les questions ci-dessus, vérifiez si vos clients sont ou non dans le champ d'application.

À qui s'adresse le NIS2 ?

Il y a deux paramètres clés à vérifier pour savoir si le NIS2 a un impact sur votre entreprise :

• Secteur d'activité : Si vous faites partie d'un secteur "essentiel" ou "important".
• Taille : Si la taille de votre entreprise répond à certains seuils "essentiels" ou "importants", c'est-à-dire plus de X employés, X euros de chiffre d'affaires ou X euros de bilan.

Examinons ces deux aspects plus en détail.

Quels sont les secteurs concernés par le NIS2 ?

Tout commence ici. Le NIS2 vise à sécuriser les industries essentielles et importantes. Le NIS2 élargit le nombre d'industries visées par la première directive NIS. Elle fait une distinction entre les industries essentielles et les industries importantes, mais les deux catégories sont incluses dans son champ d'application.

Industries essentielles : énergie, eau potable, eaux usées, transports, banques, marchés financiers, gestion des services TIC, administration publique, soins de santé et espace.

Principales industries : services postaux et de messagerie, gestion des déchets, produits chimiques, alimentation, fabrication (par exemple, dispositifs médicaux, informatique/électronique, machines/équipements, véhicules à moteur, remorques/semi-remorques/autres équipements de transport), fournisseurs numériques (par exemple, places de marché en ligne), et organismes de recherche.

Certains secteurs sont immédiatement concernés, quoi qu'il arrive. C'est le cas des bureaux d'enregistrement de noms de domaine, des fournisseurs de services de confiance, des fournisseurs de services DNS, des registres de noms TLD et des fournisseurs de services de télécommunications.

En outre, les autorités nationales auront le pouvoir de désigner des entreprises individuelles qui n'entrent pas directement dans les catégories des secteurs essentiels ou importants. Elles pourront le faire si elles estiment que l'entreprise fournit un service unique, qu'elle a un impact significatif et/ou qu'elle est essentielle pour la société.

Critères de taille des entreprises du NIS2

Le NIS2 prévoit des règles de plafonnement de la taille. Cela signifie que vous devrez vous conformer à la directive si vous franchissez certains seuils.

Quelles sont les entreprises essentielles et importantes pour les critères de taille ?

• Entreprises essentielles : 250+ employés OU 50 millions d'euros de chiffre d'affaires annuel OU 43 millions d'euros de bilan
  Note : Une entreprise essentielle qui ne remplit pas les seuils de taille essentiels (ci-dessus) mais qui remplit les seuils de taille des entreprises importantes (ci-dessous) est considérée comme une entreprise importante. Et donc toujours dans le champ d'application.
• Entreprises importantes : 50+ employés OU 10 millions d'euros de chiffre d'affaires annuel OU 10 millions d'euros de bilan.

Ainsi, à première vue, le NIS2 s'applique aux moyennes entreprises et aux grandes sociétés. Il ne s'applique pas aux petites et microentreprises. Mais il y aura des exceptions. Par exemple, si une entreprise n'atteint pas les seuils de taille, une autorité nationale peut exercer sa prérogative de désignation comme pour les critères sectoriels.

Comment savoir quel pays est compétent pour mon entreprise ?

La Commission européenne déclare : "En règle générale, les entités essentielles et importantes sont réputées relever de la juridiction de l'État membre dans lequel elles sont établies. Si l'entité est établie dans plus d'un État membre, elle doit relever de la juridiction de chacun de ces États membres.

Il y a des exceptions. Dans certains cas, il s'agit de considérer l'endroit où l'entreprise fournit le service (par exemple, les fournisseurs de services DNS). Dans d'autres cas, l'essentiel est de savoir où se trouve leur établissement principal (par exemple, les fournisseurs de services d'informatique en nuage).

Existe-t-il d'autres exceptions aux règles ?

Bien entendu, certaines sont liées aux règles relatives à l'industrie et à la taille. En outre, comme les pays mettent en œuvre la directive, il y aura des différences d'un pays à l'autre auxquelles il faudra prêter attention à mesure que les règles locales entreront en vigueur (toutes d'ici le 17 octobre 2024).

Par exemple, si vous ne répondez pas aux critères de taille, mais que vous êtes le seul fournisseur d'un service essentiel à l'activité sociétale ou économique d'un État membre, il se peut que vous deviez tout de même mettre en œuvre le NIS2.

Note : Si vous êtes actif dans le secteur financier, vous connaissez probablement déjà la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA). La loi DORA est un texte législatif - et non une directive comme la NIS2 - qui a donc la priorité sur la NIS2. Nous vous recommandons de concentrer vos efforts sur cette loi en premier lieu, mais n'oubliez pas de vous informer lorsque la NIS2 sera transposée en droit local par votre État membre de l'UE.

N'oubliez pas non plus la loi sur la cyber-résilience (CRA). L'ARC définit des exigences de cybersécurité pour une série de produits matériels et logiciels mis sur le marché de l'UE. Il s'agit notamment des haut-parleurs intelligents, des jeux, des systèmes d'exploitation, etc.

Vous cherchez un peu plus de détails ?

Voici une excellente vue d'ensemble des personnes concernées, élaborée par le Centre for Cyber Security Belgium :

Si vos clients sont concernés, le NIS2 aura probablement un impact sur vous.

Saviez-vous que la directive NIS2 inclut l'effet d'entraînement sur les tiers ? Cela signifie que même si vous n'êtes pas directement concerné, mais que vos clients le sont, vous devrez probablement vous conformer à la NIS2.

Les entreprises qui doivent mettre en œuvre le NIS2 devront "gérer et évaluer les risques" associés à leurs "fournisseurs tiers". Il s'agit, par exemple, de procéder à des évaluations régulières de la sécurité, de s'assurer que des mesures de cybersécurité adéquates sont en place et de mettre en œuvre des contrats/accords qui vous obligent à vous conformer aux exigences du NIS2.

Par conséquent, si vous êtes une entreprise B2B et que vous pensiez être hors du champ d'application en raison de votre secteur et de votre taille, mais que vos clients font partie du champ d'application de NIS2, vous devriez commencer à vous préparer !

L'Aikido fournit un rapport sur le NIS2

Aikido Security a créé un rapport NIS2 disponible dans notre application. Nous avons conçu ce rapport pour aider les entreprises qui doivent se conformer à la directive.

Êtes-vous susceptible d'être affecté par NIS2 ?
Découvrez où en est votre application sur NIS2.
Bien que notre rapport ne soit pas exhaustif (et ne couvre que votre configuration technique), il vous permettra de démarrer et d'être sur la bonne voie.

Inscrivez-vous à l'Aïkido et recevez gratuitementvotre rapport NIS2!

Aikido vient de passer le cap de la certification ISO 27001:2022 et SOC 2 Type 2. Et l'une des choses que nous aurions aimé avoir, c'est des conseils pratiques, sans prise de tête, sur la façon de commencer. Les meilleures pratiques, les choses à surveiller - essentiellement des conseils de quelqu'un qui est déjà passé par le processus de certification ISO 27001.

En savoir plus sur le chemin parcouru par l'Aïkido pour pour devenir conforme à la norme ISO 27001:2022 et les exigences de la norme ISO 27001.

C'est la raison pour laquelle nous avons rédigé cet article de blog : pour aider toute personne travaillant dans une entreprise SaaS qui envisage de se mettre en conformité avec la norme ISO:27001.

8 choses que nous avons apprises au cours du processus de certification ISO 27001

1. Sachez dans quoi vous vous engagez

Si vous n'avez jamais fait cela auparavant, la première chose à faire est de demander à vos amis et à vos relations d'affaires. Vous trouverez probablement quelqu'un qui est passé par là, alors contactez-le et demandez-lui conseil.

Si vous ne trouvez vraiment personne, vous pouvez prendre contact avec un auditeur préalable. Sachez qu'ils essaieront de vous vendre des services, ce qui est compréhensible.

Quoi qu'il en soit, il est vraiment utile d'avoir une bonne idée de la manière dont tout cela fonctionne. Vous gagnerez ainsi du temps et obtiendrez plus rapidement votre certificat ISO 27001.

2. Faites savoir que vous travaillez à la mise en œuvre de la norme ISO 27001.

Les gens apprécient que vous mentionniez que vous êtes en train de mettre en œuvre la norme ISO 27001. Ils seront ravis de savoir qu'ils auront moins de soucis à se faire dans un avenir proche. Ce qui, en retour, favorisera vos ventes et vos conversions. Mentionnez-le donc sur votre site web, dans les conversations de vente, sur LinkedIn, etc. Faites savoir à vos utilisateurs que vous rendez votre produit plus conforme.

3. Décider de la norme ISO 27001 à mettre en œuvre (2013, 2017 ou 2022)

2022 comporte beaucoup plus de contrôles concernant le codage sécurisé et la sécurité des logiciels. (par exemple, la détection des logiciels malveillants est un nouveau contrôle). Cela signifie que sa mise en œuvre nécessite plus de travail que celle d'une version plus ancienne. Si vous optez pour l'une des normes les plus récentes, elle nécessitera davantage de contrôles, mais vous serez déjà prêt pour l'avenir. Il est donc probablement préférable d'opter pour la version 2022.

Astuce rapide: La certification ISO 27001 nécessite un audit complet tous les trois ans. Il est donc préférable de ne pas opter pour la norme ISO 27001:2013, car elle n'est valable que pour deux ans. car elle n'est valable que pour deux ans.

Chaque version de la norme ISO 27001 encadre également différemment le processus de gestion des risques. La version 2022 comprend des exigences de certification actualisées qui reflètent l'évolution des risques de cybersécurité. Il est donc important pour les entreprises de mettre en place un processus de gestion des risques solide afin d'identifier, d'évaluer et d'atténuer ces risques.

Notez que, si vous êtes une grande entreprise mature, vous préférerez peut-être opter pour la version 2017, car elle est mieux établie et risque de perturber moins vos processus existants.

4. Ne pas tout externaliser

Il est risqué d'externaliser l'ensemble du processus... Même s'il est possible de confier l'ensemble du processus à un consultant, je vous le déconseille. Certes, un consultant peut vous aider, vous fournir des modèles, etc. Mais si vous externalisez tout et que vous rencontrez un problème, vous devez savoir comment le gérer. Je vous conseille d'impliquer au moins deux, voire quatre personnes de l'entreprise.

Petit conseil : N'oubliez pas que l'audit final doit être effectué par un organisme de certification accrédité !

5. Obtenez un pentest adapté à votre entreprise

Si vous êtes un éditeur de logiciels, vous devriez choisir un pentester qui se concentrera sur les aspects qui ne sont pas couverts par des outils automatisés tels que OWASP ZAP. Choisissez des pentesters ayant une expérience de chasseur de bogues, plutôt que des pentesters de la "vieille école".

6. Exploiter les normes de conformité et accélérer

Le fait d'être déjà conforme à la norme SOC2 accélère la mise en conformité à la norme ISO. Et il est bon de savoir que, si vous êtes conforme à la norme ISO, NIS2 (une nouvelle réglementation applicable dans l'UE) sera plus facile à mettre en œuvre.

Petit conseil : Vérifiez que votre auditeur a fait l'objet d'un audit (c'est une obligation). Ne vous contentez pas de quelqu'un qui n'a pas les bonnes références, vous risquez de vous faire avoir.

7. Réaliser que personne n'est parfait

L'audit éventuel trouvera toujours des non-conformités et il n'y a pas de mal à être imparfait. Mais vous devez connaître ces imperfections et vous assurer que vous disposez d'un plan d'action formel pour résoudre les problèmes. Il s'agit d'un processus d'amélioration continue qui, à terme, conduira à une meilleure sécurité dans l'ensemble de l'entreprise. Certes, vous n'atteindrez peut-être jamais la "perfection", mais vous devez faire de votre mieux pour y parvenir !

8. Commencer tôt à mettre en œuvre des outils qui couvrent les contrôles ISO

Si vous envisagez de vous mettre en conformité avec la norme ISO, il est toujours judicieux de tester les outils qui vous aideront à effectuer certains contrôles (et à produire les preuves dont vous avez besoin).

Par exemple, l'ISO exige que vous mettiez en œuvre certains processus concernant les personnes, tels que l'intégration et la désinsertion, la vérification des antécédents, l'attribution et la récupération des actifs de l'entreprise. La mise en œuvre de ces processus dans un système d'information sur les ressources humaines (SIRH) tel qu'Officient, Personio ou Workday, vous permettra d'être opérationnel dès que vous devrez produire vos preuves pour l'ISO.

Il en va de même pour Aikido, qui effectue déjà des vérifications sur 22 contrôles et génère un rapport ISO 27001 complet. Il s'agit là d'un autre excellent exemple d'anticipation dans la préparation de votre ISO.

ISO 27001:2022 gestion de la vulnérabilité technique

Vous êtes sur la voie de la certification ISO 27001:2022 ? Notre plateforme, Aikido Security, répond à tous les besoins de gestion des vulnérabilités techniques pour les applications ISO 27001:2022. Nous avons également décidé de nous associer à des plateformes de contrôle de conformité (comme Vanta ou Drata) pour synchroniser facilement les données et s'assurer que vos informations sur les vulnérabilités sont toujours à jour. Cela vous aide à rester au top de votre posture de sécurité.

Demander notre rapport

N'hésitez pas à demander notre propre certificat ISO 27001:2022 directement sur notre page de présentation de la sécurité. Nous sommes plus qu'heureux de partager les fruits de notre dur labeur ! 😉

J'espère que ce billet vous sera utile. J'aurais certainement aimé connaître tous ces conseils lorsque nous avons entamé le processus. Si vous envisagez la certification ISO, contactez-moi sur LinkedIn et je me ferai un plaisir de vous faire part de mes observations !

Un mariage informatique fait en... Belgique ! Aikido Security, une startup SaaS de Gand, fournira la sécurité des applications à The Cronos Group, un intégrateur e-business basé à Kontich, qui compte plus de 5 000 clients dans ses 570+ sociétés dans la région du Benelux. Ce partenariat stratégique devrait renforcer le dispositif de sécurité de The Cronos Group et l'influence d'Aikido Security dans le secteur de la cybersécurité.

Une posture de sécurité plus forte grâce à l'Aikido

Le groupe Cronos est désormais un nouveau client d'Aikido. Dans ce contexte, le groupe Cronos est en train d'implémenter les solutions de sécurité d'Aikido dans plusieurs de ses sociétés de développement de logiciels. Pourquoi est-ce utile pour le groupe Cronos ? Non seulement cela permet d'établir une posture de sécurité plus forte pour chaque entreprise de son réseau, mais cela crée également un autre avantage important. Aikido met tout en commun pour Cronos, qui bénéficie ainsi d'une vue d'ensemble de la sécurité de ces entreprises, plus précise et plus standardisée que jamais.

Au-delà, Aikido confie au groupe Cronos le soin de devenir un véritable partenaire. Dans ce contexte, Cronos sera en mesure de fournir Aikido à ses clients afin qu'ils puissent eux aussi bénéficier des services d'Aikido. En outre, Cronos et Aikido collaborent activement à l'amélioration des fonctionnalités du produit.

L'ensemble unique d'outils de sécurité d'Aikido et sa capacité à réduire les faux positifs apporteront de l'efficacité aux équipes de développement du réseau d'entreprises et de clients du groupe Cronos. Cela signifie moins de perturbations dues à des alertes inutiles, ce qui permet de se concentrer davantage sur l'écriture du code. Le Cronos Group a pour objectif d'aider les entreprises à trouver des moyens créatifs, de haute qualité et rentables de tirer le meilleur parti des nouvelles technologies potentielles. Ce partenariat s'inscrit donc parfaitement dans sa mission.

Aikido rassemble tous ces éléments dans un "Portail Partenaire Sécurité" dédié. Grâce à ce portail, le groupe Cronos est en mesure d'obtenir une vue d'ensemble plus précise et standardisée de la posture de sécurité de ses entreprises que jamais auparavant.

Le groupe Cronos et l'Aïkido commentent leur partenariat

Le groupe Cronos est impatient de commencer à pratiquer l'Aïkido.

Le groupe Cronos a toujours soutenu l'innovation et l'esprit d'entreprise, y compris la cybersécurité. Nous sommes toujours à la recherche de partenaires pour renforcer nos alliances. Grâce à Aikido, nous voulons permettre à nos développeurs et à nos clients d'intégrer la sécurité dès la première ligne de code. En combinant l'automatisation et l'intelligence, ils peuvent se concentrer sur la valeur commerciale tout en préservant leur propre temps et en réduisant l'exposition au minimum.
Jonas Buyle, Cronos Security

Quels sont les avantages de ce nouveau partenariat pour Aikido ? "Nous sommes ravis d'accueillir The Cronos Group au sein de la famille Aikido Security ", explique Willem Delbare, cofondateur et PDG d'Aikido. "En tant que client et revendeur, The Cronos Group représente un partenariat clé dans notre mission de simplifier la gestion de votre sécurité. Notre collaboration promet de fournir des informations inégalées sur le niveau de sécurité du portefeuille d'entreprises du Cronos Group. Ensemble, nous aspirons à élever les normes de sécurité des applications dans tous les domaines.

A propos d'Aikido Security

Aikido Security est une plateforme de sécurité logicielle qui s'adresse d'abord aux développeurs. Nous analysons votre code source et votre cloud pour vous montrer quelles vulnérabilités sont réellement importantes à résoudre. Le triage est accéléré en réduisant massivement les faux positifs et en rendant les CVE lisibles par l'homme. Aikido simplifie le renforcement de votre posture de sécurité pour sécuriser votre produit. Il vous redonne du temps pour faire ce que vous faites le mieux : écrire du code.

À propos du groupe Cronos

Le Groupe Cronos est un intégrateur e-business qui fournit des solutions TIC de haute qualité aux entreprises et aux entités gouvernementales dans la région du Benelux. Le Groupe Cronos a été fondé par et pour des technologues en TIC dans le but de les aider à développer leur carrière et leur esprit d'entreprise. Cette mission s'est élargie aux professionnels de la création afin de concevoir et de mettre en œuvre conjointement des solutions créatives et technologiques de pointe pour ses clients. Depuis sa création en 1991, le groupe Cronos est passé d'une entreprise unipersonnelle à un groupe de sociétés employant plus de 9 000 professionnels dans plus de 570 entreprises.

C'est toujours une excellente nouvelle lorsque nous entendons parler de la satisfaction d'un client qui utilise Aikido Security. Mais nous ne voulons pas garder toutes les bonnes nouvelles pour nous ! Concentrons-nous sur Loctax, la toute première plateforme de gouvernance fiscale collaborative pour les équipes fiscales internes mondiales.

Loctax fournit ses services fiscaux à des entreprises telles que Wise, PedidosYa, Iba, Luxottica et Trainline. Pour Loctax, il est essentiel d'aller plus loin pour garantir la sécurité et la conformité de son environnement et des données de ses clients.

Ensemble, nous avons amélioré leur vitesse de triage en réduisant les faux positifs et les alertes de sécurité non pertinentes. Mais nous ne nous sommes pas arrêtés là. Nous avons également amélioré la posture de sécurité de Loctax tout en accélérant le développement des produits. Dans l'ensemble, le résultat a été un gain de temps et d'argent précieux. Alors que Loctax réduit les risques fiscaux pour ses clients, Aikido réduit les risques de sécurité pour Loctax.

Le défi : trouver un équilibre entre rapidité et sécurité

Loctax a été confronté à un dilemme courant. Comment concilier le développement rapide de produits et une sécurité sans compromis ? La pression était forte pour fournir des solutions de premier ordre à ses clients. Parallèlement, Loctax devait également protéger les données fiscales sensibles et se conformer aux normes de sécurité les plus strictes. En outre, elle devait le faire avec une petite équipe tout en optimisant les coûts.

Cependant, Loctax a rencontré des obstacles avec sa solution de sécurité existante. Les faux positifs étaient plus nombreux que la neige en Alaska, consommant un temps précieux en travail de triage et d'analyse.

Ce n'est pas une surprise pour nous. Lors de nos récentes consultations avec des directeurs techniques de SaaS, les faux positifs ont été classés comme la deuxième faille de sécurité dans leurs choix actuels de logiciels de sécurité. Ces directeurs techniques ont également classé l'élimination des faux positifs comme la deuxième activité la plus importante pour atteindre les résultats stratégiques de l'entreprise. Il s'avère donc que les besoins de Loctax correspondent parfaitement à ce que nous disent les directeurs techniques de SaaS. Et, soyons honnêtes, les faux positifs vous désensibilisent également et vous empêchent d'examiner les choses qui comptent vraiment.

Dans le même temps, le chevauchement des résultats des différents outils a créé un autre obstacle sur la voie de la sécurité. Le manque d'intégration des outils a rendu difficile l'obtention d'une vue d'ensemble des priorités réelles en matière de sécurité.

Pour couronner le tout, les coûts d'abonnement aux solutions de sécurité qu'ils utilisaient déjà augmentaient considérablement en raison de la croissance rapide de l'équipe. Cette méthode de tarification à la tête pesait sur leur budget de sécurité.

Si l'on met tout cela bout à bout, il est devenu évident pour Bart Van Remortele, directeur technique et cofondateur de Loctax, qu'il devait changer l'approche de l'entreprise. Il a décidé de trouver de nouveaux outils pour relever ces défis et a découvert Aikido Security.

Aikido Security obtient des résultats pour Loctax

Le passage au produit d'Aikido Security a été une décision qui a changé la donne pour Loctax et a apporté de nombreux résultats positifs.

Triage automatique : le pouvoir de l'efficacité

Notre fonction de triage automatique s'est révélée être une véritable ceinture noire ! Elle a filtré le bruit et les faux positifs qui nous distrayaient. En outre, nous fournissons également un moteur personnalisé d'accessibilité aux vulnérabilités. Celui-ci vérifie si une fonction vulnérable est réellement accessible.

Une fois débarrassée de ces encombrants et les vraies vulnérabilités clairement identifiées et hiérarchisées, l'équipe de développement de Loctax a pu gagner en efficacité et en productivité. Elle a augmenté sa productivité en gagnant un temps précieux qui était auparavant perdu en investigations inutiles.

Un tableau de bord unifié : harmoniser le flux de travail en matière de sécurité

L'Aïkido, l'art martial, fournit des compétences pour se défendre efficacement en utilisant le moins d'efforts possible. Aikido Security applique ce principe. Pour Loctax, nous avons fourni un tableau de bord unique qui est devenu le centre des opérations de sécurité.

L'intégration dans la pile technologique existante de Loctax a été un jeu d'enfant. Aikido offre une vue d'ensemble de tous les problèmes de sécurité sans le casse-tête des notifications qui se chevauchent. Lorsque des événements de sécurité critiques surviennent, des alertes opportunes apparaissent dans les canaux Slack correspondants. Par conséquent, avec une intégration facile dans les outils de gestion de projet, Aikido a simplifié la gestion des tâches de sécurité.

Réduction des coûts : 50%

La consolidation des outils de sécurité s'est avérée être un coup de maître. En conséquence, l'impact d'Aikido Security sur les finances de Loctax a été significatif. Le résultat ? Une réduction remarquable de 50 % des coûts des opérations de sécurité. Oui, vous avez bien lu - 50% ! Alors que l'équipe de Loctax continuait à grandir, les dépenses de sécurité ne créaient plus de problèmes budgétaires. Loctax a ainsi pu consacrer plus de ressources à sa mission principale : fournir aux équipes fiscales internes une nouvelle norme en matière de gestion et d'opérations fiscales.

Aikido Security aide à défendre votre SaaS

Soyons clairs : les entreprises SaaS sont soumises à une pression pour obtenir une sécurité de premier ordre, et Loctax n'échappe pas à la règle. Mais il est extrêmement difficile pour une équipe qui se concentre sur le développement d'un produit de gérer en même temps la complexité de l'ensemble de son dispositif de sécurité en interne. Notre partenariat avec Loctax illustre le pouvoir de transformation d'Aikido Security pour les entreprises dans cette situation. Loctax peut se concentrer pleinement sur la gestion collaborative des impôts pour les équipes fiscales internes, et Aikido assure la sécurité.

Nous avons remplacé notre solution précédente par Aikido en raison de ses performances et de son efficacité supérieures. - Bart Van Remortele, CTO et co-fondateur de Loctax

En adoptant les solutions d'Aikido, Loctax a optimisé son dispositif de sécurité et éliminé les faux positifs. Cela a permis de gagner un temps précieux et de réaliser des économies remarquables. La rapidité de l'équipe de développement est restée intacte et la sécurité est devenue plus forte que jamais.

Aikido Security aide à défendre votre SaaS

Faites votre premier tai-sabaki avec Aikido en analysant gratuitement vos dépôts. En moins de 2 minutes, vous obtiendrez des informations précieuses sur votre sécurité. Renforcez votre organisation, stimulez le développement et profitez de la tranquillité d'esprit que procure une solide défense de la sécurité.

Téléchargez notre étude de cas sur Loctax.

‍