{"id":1086827,"date":"2024-01-04T12:39:17","date_gmt":"2024-01-04T14:39:17","guid":{"rendered":"https:\/\/teknomers.com\/fr\/trois-facons-de-renforcer-la-securite-de-votre-chaine-dapprovisionnement-logicielle\/"},"modified":"2024-01-04T12:39:22","modified_gmt":"2024-01-04T14:39:22","slug":"trois-facons-de-renforcer-la-securite-de-votre-chaine-dapprovisionnement-logicielle","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/trois-facons-de-renforcer-la-securite-de-votre-chaine-dapprovisionnement-logicielle\/","title":{"rendered":"Trois fa\u00e7ons de renforcer la s\u00e9curit\u00e9 de votre cha\u00eene d&#8217;approvisionnement logicielle"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">L&#8217;actualit\u00e9 des hackers<\/span><\/span><span class=\"p-tags\">Piratage \u00e9thique \/ \u00c9valuation de la vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Trois-facons-de-renforcer-la-securite-de-votre-chaine-dapprovisionnement.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La quatri\u00e8me section du &#8220;<a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.whitehouse.gov\/briefing-room\/presidential-actions\/2021\/05\/12\/executive-order-on-improving-the-nations-cybersecurity\/\" target=\"_blank\">D\u00e9cret ex\u00e9cutif sur l&#8217;am\u00e9lioration de la cybers\u00e9curit\u00e9 du pays<\/a>&#8221; a pr\u00e9sent\u00e9 \u00e0 de nombreuses personnes du secteur de la technologie le concept de \u00ab\u00a0cha\u00eene d&#8217;approvisionnement logicielle\u00a0\u00bb et sa s\u00e9curisation. Si vous cr\u00e9ez un logiciel et esp\u00e9rez un jour le vendre \u00e0 une ou plusieurs agences f\u00e9d\u00e9rales, vous <em>avoir<\/em> faire attention \u00e0 cela.  M\u00eame si vous n&#8217;envisagez jamais de vendre \u00e0 un gouvernement, comprendre votre cha\u00eene d&#8217;approvisionnement logicielle et apprendre \u00e0 la s\u00e9curiser vous rapportera des dividendes gr\u00e2ce \u00e0 une base de s\u00e9curit\u00e9 plus solide et aux avantages qu&#8217;elle offre.  Cet article examinera trois fa\u00e7ons de booster votre <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.gitguardian.com\/learning-center\/software-supply-chain-security\" target=\"_blank\">S\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement logicielle<\/a>.<\/p>\n<p>Quelle est votre cha\u00eene d\u2019approvisionnement logicielle ?  Il s&#8217;agit essentiellement de tout ce qui entre dans la cr\u00e9ation d&#8217;un logiciel\u00a0: depuis l&#8217;IDE dans lequel le d\u00e9veloppeur \u00e9crit le code, jusqu&#8217;aux d\u00e9pendances tierces, en passant par les syst\u00e8mes de construction et les scripts, jusqu&#8217;au mat\u00e9riel et au syst\u00e8me d&#8217;exploitation sur lesquels il s&#8217;ex\u00e9cute.  Des instabilit\u00e9s et des vuln\u00e9rabilit\u00e9s peuvent \u00eatre introduites, de mani\u00e8re malveillante ou non, depuis la cr\u00e9ation jusqu&#8217;au d\u00e9ploiement et m\u00eame au-del\u00e0. <\/p>\n<h2><strong>1\u00a0: Gardez vos secrets secrets<\/strong><\/h2>\n<p>Certains des incidents de cybers\u00e9curit\u00e9 les plus importants de 2023 se sont produits parce que de mauvais acteurs <em>trouv\u00e9<\/em> secrets en texte brut.  Les secrets, dans ce contexte, sont des \u00e9l\u00e9ments tels que des combinaisons de nom d&#8217;utilisateur et de mot de passe, des cl\u00e9s API, des cl\u00e9s de signature, etc.  Ces cl\u00e9s des royaumes corporatifs ont \u00e9t\u00e9 retrouv\u00e9es l\u00e0 o\u00f9 elles ne devraient pas \u00eatre.<\/p>\n<p><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/blog.gitguardian.com\/three-recent-examples-of-why-you-need-to-know-how-vulnerable-your-secrets-are\/#example-3-leaked-tokens-sourcegraph-admin-token-turns-a-hacker-into-a-super-user\" target=\"_blank\">Sourcegraph a \u00e9t\u00e9 mis \u00e0 jour <\/a>lorsqu&#8217;ils ont publi\u00e9 du code sur une instance publique contenant un jeton d&#8217;acc\u00e8s cod\u00e9 en dur.  Le jeton a \u00e9t\u00e9 utilis\u00e9 pour cr\u00e9er d&#8217;autres comptes et donner aux utilisateurs un acc\u00e8s gratuit \u00e0 l&#8217;API Sourcegraph.  Un groupe de hackers a eu acc\u00e8s \u00e0 un environnement de d\u00e9bogage interne de Microsoft et <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2023\/07\/11\/mitigation-china-based-threat-actor\/\" target=\"_blank\">trouv\u00e9 une cl\u00e9 de signature dans un vidage sur incident<\/a> qui leur permet de cr\u00e9er des informations d&#8217;identification de messagerie.<\/p>\n<p>Des outils comme GitGuardian vous permettent de v\u00e9rifier votre code, \u00e0 la fois ancien et \u00e0 la pointe de la technologie, pour d\u00e9tecter les secrets publi\u00e9s accidentellement ou les tentatives de publication.  Il est important de savoir quels secrets ont pu \u00eatre divulgu\u00e9s et d&#8217;y rem\u00e9dier, ainsi que de mettre en place des protections sous la forme d&#8217;outils automatis\u00e9s et de r\u00e9visions de code pour garantir que d&#8217;autres cl\u00e9s ne soient pas divulgu\u00e9es. <\/p>\n<h2><strong>2\u00a0: Utilisez SCA pour vous aider \u00e0 cr\u00e9er votre nomenclature<\/strong><\/h2>\n<p>Dans le domaine de la fabrication, une nomenclature (BOM) est un inventaire complet qui comprend toutes les mati\u00e8res premi\u00e8res, composants et directives n\u00e9cessaires \u00e0 la construction, \u00e0 la fabrication ou \u00e0 la r\u00e9paration d&#8217;un produit ou d&#8217;un service.  Les r\u00e9glementations et les meilleures pratiques en mati\u00e8re de cybers\u00e9curit\u00e9 adoptent l&#8217;id\u00e9e d&#8217;une nomenclature logicielle qui assure la transparence et la provenance de tous les \u00e9l\u00e9ments entrant dans la cr\u00e9ation de votre logiciel.<\/p>\n<p>Mais vous ne pouvez tout simplement pas cr\u00e9er une nomenclature \u00e0 partir de votre liste de d\u00e9pendances d\u00e9clar\u00e9es. <\/p>\n<p>Les r\u00e9f\u00e9rentiels de packages tels que NPM, PyPI et l&#8217;incorporation de frameworks et de biblioth\u00e8ques open source ont \u00e9t\u00e9 salu\u00e9s pour avoir rendu le d\u00e9veloppement de logiciels plus efficace sans avoir \u00e0 r\u00e9inventer les roues.  Au lieu de cela, les d\u00e9veloppeurs pouvaient trouver des packages gratuits impl\u00e9mentant les fonctionnalit\u00e9s dont ils avaient besoin et les int\u00e9grer facilement dans leur logiciel. <\/p>\n<p>Ils ont \u00e9galement expos\u00e9 les d\u00e9veloppeurs \u00e0 un r\u00e9seau croissant de d\u00e9pendances.  Vous aurez peut-\u00eatre l&#8217;impression que &#8220;<a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/en.wikipedia.org\/wiki\/Turtles_all_the_way_down\" target=\"_blank\">des tortues jusqu&#8217;en bas<\/a>&#8221; car vos d\u00e9pendances ont des d\u00e9pendances qui ont des d\u00e9pendances\u2026 Vous pouvez m\u00eame avoir des sous-d\u00e9pendances sur quatre versions diff\u00e9rentes du m\u00eame package, qui pr\u00e9sentent toutes des vuln\u00e9rabilit\u00e9s diff\u00e9rentes.<\/p>\n<p>Les outils d&#8217;analyse de la composition logicielle analysent automatiquement la base de code de votre projet et identifient tous les composants externes que vous utilisez, y compris toutes les tortues jusqu&#8217;au bout.  Ils effectuent ensuite des v\u00e9rifications pour s&#8217;assurer que ces composants sont \u00e0 jour, s\u00e9curis\u00e9s et conformes aux exigences de licence. <\/p>\n<p>Cela permet non seulement d&#8217;identifier les d\u00e9pendances qui ont des exploits connus afin que vous puissiez les mettre \u00e0 jour ou les remplacer, mais c&#8217;est \u00e9galement d&#8217;une grande aide lorsque vous devez g\u00e9n\u00e9rer une nomenclature propre pour inspection par les clients potentiels et les r\u00e9gulateurs.<\/p>\n<h2><strong>3\u00a0: Allez vous pirater<\/strong><\/h2>\n<p>Le piratage \u00e9thique est plus ancien que la plupart des r\u00e9cents dipl\u00f4m\u00e9s CS.  Comme indiqu\u00e9 dans <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.youtube.com\/watch?v=SDeG4BXfLnU&amp;ref=blog.gitguardian.com\" target=\"_blank\">un r\u00e9cent webinaire sur le piratage \u00e9thique<\/a>il s&#8217;agit \u00ab d&#8217;identifier et d&#8217;exploiter les vuln\u00e9rabilit\u00e9s des syst\u00e8mes ou des r\u00e9seaux informatiques de mani\u00e8re <em>responsable et l\u00e9gal<\/em> mani\u00e8re. \u00bb Notez l\u2019accent mis sur \u00ab responsable \u00bb et \u00ab licite \u00bb.<\/p>\n<p>Essentiellement, les pirates \u00e9thiques utilisent <em>la plupart<\/em> des m\u00eames techniques que les pirates &#8220;chapeau noir&#8221; pour trouver et exploiter les vuln\u00e9rabilit\u00e9s d&#8217;un syst\u00e8me.  La diff\u00e9rence sur laquelle on ne saurait trop insister est qu\u2019ils le font avec autorisation.  Ils s&#8217;en tiennent aux syst\u00e8mes qu&#8217;ils ont \u00e9t\u00e9 autoris\u00e9s \u00e0 pirater, puis documentent tout pour que leurs d\u00e9couvertes puissent \u00eatre reproduites et analys\u00e9es par l&#8217;\u00e9quipe\/client \u00e0 qui ils les rapportent.<\/p>\n<p>M\u00eame si cela peut souvent intervenir \u00e0 un stade ult\u00e9rieur du processus de d\u00e9veloppement, cela reste important.  S&#8217;ils peuvent d\u00e9terminer vos d\u00e9pendances et cr\u00e9er leur propre SCA qui identifie les d\u00e9pendances vuln\u00e9rables, la partie est termin\u00e9e.  S\u2019ils parviennent \u00e0 trouver un point d\u2019entr\u00e9e non surveill\u00e9, la partie est termin\u00e9e.  S&#8217;ils testent une application Web et trouvent du code de d\u00e9bogage produisant une sortie confidentielle dans la console, la partie est termin\u00e9e.  Certaines vuln\u00e9rabilit\u00e9s peuvent \u00eatre un obstacle, d&#8217;autres peuvent n\u00e9cessiter simplement la suppression d&#8217;une ligne de code de d\u00e9bogage.<\/p>\n<p>Int\u00e9grer le piratage \u00e9thique au processus de publication, rejoindre des programmes de primes aux bogues et bien plus encore peut vous assurer que vous corrigez les probl\u00e8mes avant de devoir vous en excuser, les signaler aux r\u00e9gulateurs et effectuer le nettoyage.<\/p>\n<h2><strong>R\u00e9sum\u00e9<\/strong><\/h2>\n<p>Que vous essayiez de plaire aux r\u00e9gulateurs ou aux clients, renforcer la s\u00e9curit\u00e9 de votre cha\u00eene d&#8217;approvisionnement logicielle vous permettra de passer plus de temps \u00e0 vendre vos logiciels et moins de temps \u00e0 vous en excuser.  Et m\u00eame si ces trois conseils vous donnent une bonne base, vous pouvez en trouver bien plus dans le cadre de s\u00e9curit\u00e9 SLSA.  Travailler le cadre et s\u00e9curiser votre cha\u00eene d&#8217;approvisionnement est la fa\u00e7on dont vous obtenez (<a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/slsa.dev\/#:~:text=What%20is%20SLSA%3F,any%20link%20in%20the%20chain.\" target=\"_blank\">selon les mots du site SLSA<\/a>) &#8220;de &#8216;assez s\u00fbr&#8217; \u00e0 \u00eatre aussi r\u00e9silient que possible, \u00e0 n&#8217;importe quel maillon de la cha\u00eene.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/three-ways-to-supercharge-your-software.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 janvier 2024\ue804L&#8217;actualit\u00e9 des hackersPiratage \u00e9thique \/ \u00c9valuation de la vuln\u00e9rabilit\u00e9 La quatri\u00e8me section du &#8220;D\u00e9cret ex\u00e9cutif sur l&#8217;am\u00e9lioration de la cybers\u00e9curit\u00e9 du pays&#8221; a pr\u00e9sent\u00e9 \u00e0 de nombreuses personnes du secteur de la technologie le concept de \u00ab\u00a0cha\u00eene d&#8217;approvisionnement logicielle\u00a0\u00bb et sa s\u00e9curisation. Si vous cr\u00e9ez un logiciel et esp\u00e9rez un jour le vendre [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1086828,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,2953,4168,4165,4161,200267,3242,6771,4159,4171,200271,40659,200268,200269,200270,16250,1835,128318,4172,4169,430,4166,877,4164],"class_list":["post-1086827","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chaine","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dapprovisionnement","tag-facons","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logicielle","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-renforcer","tag-securite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-trois","tag-violation-de-donnees","tag-votre","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1086827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1086827"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1086827\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1086828"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1086827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1086827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1086827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}