Post de Hurryman

🔐 Minimiser les menaces dans la chaîne d'approvisionnement logicielle 🔐 Avec 10 millions d’erreurs identifiées dans le code source libre en 2022, il est indispensable de comprendre comment sécuriser efficacement la chaîne d'approvisionnement logicielle. ➡️ Les bons réflexes : 🔍 Entre complexité et sécurité : reconnaissance de la complexité de la chaîne d'approvisionnement logicielle et de l'importance d'une sécurité étendue, au-delà des processus internes. 🔍Contrôle et limitation des accès : il est important de contrôler les tiers impliqués et de limiter les privilèges d'accès pour minimiser les risques de vulnérabilité. 🔍Modèle DevSecOps et amélioration continue : vers une adoption du modèle DevSecOps pour une collaboration efficace entre développeurs et experts en sécurité et afin de répondre à la nécessité d’évaluer constamment pour identifier et corriger les vulnérabilités. 🤔 Comment votre organisation aborde-t-elle la sécurité de sa chaîne d'approvisionnement logicielle, et quelles pratiques pourriez-vous adopter pour renforcer cette sécurité ? 🔗 En savoir plus sur les bonnes pratiques dans l’article de Zach Amos #Cybersécurité #DéveloppementLogiciel #DevSecOps #InCyberNews https://lnkd.in/evQzfYVk

De mises à jour régulière protègent vos données contre les attaques puisqu'elles vous permettent d'avoir les dernières correctifs de sécurités des logiciels et systèmes que vous utilisez. Alors, ne négligez pas les mises à jours, faites-en à chaque fois de nouvelles versions de vos logiciels sont disponibles. #cloudandracks #gestiondedonnéees #datacenterinfrastructure #Stockage #ProtectionDesDonnées #cloudandracksdatacenter #DataCenterSolutions #datainfrastructure

🚨 [Cyber] Le dernier rapport annuel de JFrog révèle que les scores des vulnérabilités les plus critiques sont trompeurs 👉 Le rapport de JFrog sur les chaînes d’approvisionnement en logiciels montre que les scores des vulnérabilités les plus critiques sont trompeurs. 74 % des scores CVSS « élevés » ou « critiques... https://lnkd.in/dEJwbsXG

Editeurs de logiciels : attention à l'obligation de sécurité informatique ! Une obligation de sécurité imposée aux éditeurs de logiciels par le législateur national L’article L. 2321-4-1 du Code de la Défense, introduit par la Loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense oblige les éditeurs de logiciel à notifier à l'ANSSI et leurs clients lorsqu'ils sont victimes d'un incident informatique ou qu'ils ont une vulnérabilité critique sur un de leurs produits. Cette obligation s’applique aux éditeurs qui fournissent ce produit : 1. Sur le territoire français ; 2. A des sociétés ayant leur siège social sur le territoire français ; 3. Ou à des sociétés contrôlées, au sens de l'article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français. Si la vulnérabilité affectant le produit peut être constatée par l’éditeur du logiciel ou notifiée par l’ANSSI, c’est à l’éditeur du logiciel de déterminer de son caractère significatif (dans un délai fixé par l’ANSSI lorsque la notification émane d’elle). Il s’appuiera pour cela sur les critères mentionnés à l’article R. 2321-1-16. – I du Code de la défense, à savoir notamment : 1. Le nombre d'utilisateurs concernés par la vulnérabilité ou l'incident affectant le produit ; 2. Le nombre de produits intégrant le produit affecté ; 3. L'impact technique, potentiel ou actuel, de la vulnérabilité ou de l'incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l'intégrité, la confidentialité ou la traçabilité ; 4. Le type de produit au regard de ses usages et de l'environnement dans lequel il est déployé ; 5. L'exploitation imminente ou avérée de la vulnérabilité ; 6. L'existence d'une preuve technique d'exploitabilité ou d'un code d'exploitation. Une autre obligation européenne de sécurité des logiciels La Proposition de CyberResilience Act impose aux opérateurs économiques de prévoir des mesures de sécurité dès la conception des produits comportant des éléments numériques (ex : logiciels, objets connectés…) ou de s’assurer de l’absence de vulnérabilité à la livraison des produits. https://lnkd.in/dvx-9Xjk

En ce début d'année, rappelons qu'en matière d'IT, la question n'est pas de savoir si, mais quand les systèmes seront compromis/bloqués. Voici quelques rappels et pratiques pour renforcer la sécurité de vos sites et infrastructures internet : 1- Gestion des Mises à Jour : Priorisez les mises à jour régulières de vos systèmes d'exploitation, logiciels et applications. Les vulnérabilités non corrigées sont des portes ouvertes pour les attaques 2- Sauvegardes Essentielles : Automatisez et testez régulièrement vos sauvegardes en suivant à minima la règle 3-2-1. Identifiez et priorisez les données critiques pour minimiser les pertes en cas de problème. 3- Stratégies pour les Sites Web : Surtout dans l'e-commerce, envisagez plusieurs serveurs, des réplications et une procédure de redéploiement rapide pour assurer la continuité des services. 4- Procédures PCA/PRA : Élaborez des plans de continuité d'activité et de reprise après incident en collaboration avec les équipes concernées. Testez-les au moins une fois par an pour garantir leur efficacité. 5- Gestion des Approvisionnements : Anticipez les délais d'approvisionnement pour les équipements. Prévoyez des solutions temporaires pour éviter des périodes prolongées en mode dégradé. 6- Protection des Données Utilisateurs : Mettez en place des procédures de déclaration à la CNIL en cas de violation de données. Informez vos clients pour renforcer la transparence.

🔒 Découvrez les 5 Tendances Clés en Sécurité Logicielle pour 2024.

#CyberSécurité : Les #RSSI demandent depuis longtemps que les éditeurs de logiciels assument la responsabilité des vulnérabilités de leurs produits. La nouvelle réglementation française, effective à partir du 1er juin 2024, oblige désormais les éditeurs à signaler à l'ANSSI - Agence nationale de la sécurité des systèmes d'information les incidents de sécurité et les vulnérabilités significatives. Cela concerne tous les éditeurs basés en France ou vendant leurs produits en France, y compris les logiciels libres. L'Anssi a le pouvoir de surveiller les vulnérabilités critiques, et les éditeurs doivent évaluer et signaler celles jugées significatives. Cette loi impose aux éditeurs une vigilance accrue et prévoit des sanctions pour ceux qui ne respecteraient pas les obligations de signalement. L'Anssi peut ainsi informer les clients de l'éditeur en cas de non-conformité sans révéler les détails des vulnérabilités concernées. Au niveau européen, le règlement sur la cyber-résilience impose également aux concepteurs d'objets connectés et aux éditeurs logiciels de suivre des pratiques de sécurisation dès la conception et tout au long de la vie du produit, sous peine de lourdes amendes. Le débat sur la responsabilité des éditeurs est ancien. Les RSSI, comme Alain Bouillé du CESIN, soulignent que contrairement à d'autres industries, le secteur du logiciel n'était pas jusqu'à présent fortement régulé en matière de sécurité. Avec la numérisation croissante des entreprises, la gestion des vulnérabilités est devenue une tâche de plus en plus complexe et essentielle. De nombreux outils et services pour la gestion des vulnérabilités ont émergé, aidant les entreprises à tester les mises à jour et à éviter les mauvaises surprises. Cependant, certains éditeurs, notamment les moins connus, négligent encore la sécurité de leurs produits. Les nouvelles régulations sont donc perçues comme une évolution nécessaire pour assurer une meilleure sécurité des logiciels, malgré les défis de cohérence entre différents textes législatifs.

Les PME ne sont pas à l'abri des pirates : 43 % des cyberattaques visent ces entreprises, car elles ont rarement l'expertise ou les ressources nécessaires pour se protéger adéquatement. Renforcez votre sécurité et votre conformité avec AWS. 

Les PME ne sont pas à l'abri des pirates : 43 % des cyberattaques visent ces entreprises, car elles ont rarement l'expertise ou les ressources nécessaires pour se protéger adéquatement. Renforcez votre sécurité et votre conformité avec AWS.