{"id":186383,"date":"2022-06-06T11:37:13","date_gmt":"2022-06-06T13:37:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/etre-pro-actif-decaler-la-validation-de-securite-vers-la-gauche\/"},"modified":"2022-06-06T11:37:14","modified_gmt":"2022-06-06T13:37:14","slug":"etre-pro-actif-decaler-la-validation-de-securite-vers-la-gauche","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/etre-pro-actif-decaler-la-validation-de-securite-vers-la-gauche\/","title":{"rendered":"Etre pro-actif!  D\u00e9caler la validation de s\u00e9curit\u00e9 vers la gauche"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;approche gauche &#8220;D\u00e9placer (s\u00e9curit\u00e9)&#8221; dans le cycle de vie du d\u00e9veloppement logiciel (SDLC) signifie commencer la s\u00e9curit\u00e9 plus t\u00f4t dans le processus.  Lorsque les organisations ont r\u00e9alis\u00e9 que les logiciels ne sont jamais parfaits et sont cribl\u00e9s de nombreux trous exploitables, bogues et vuln\u00e9rabilit\u00e9s de la logique m\u00e9tier qui n\u00e9cessitent de revenir en arri\u00e8re pour corriger et corriger, elles ont compris que la cr\u00e9ation de logiciels s\u00e9curis\u00e9s n\u00e9cessite l&#8217;incorporation et la consolidation de nombreuses ressources.<\/p>\n<p>Cette conclusion a conduit les leaders DevOps et R&amp;D \u00e0 devenir proactifs, \u00e0 acqu\u00e9rir la technologie pour trouver et combler ces lacunes \u00e0 l&#8217;avance, dans le but de r\u00e9duire les co\u00fbts et les efforts tout en am\u00e9liorant la qualit\u00e9 de leurs r\u00e9sultats. <\/p>\n<p>Avec l&#8217;\u00e9mergence compl\u00e8te <a rel=\"nofollow noopener\" href=\"https:\/\/cybersecurityvalidation.com\/\" target=\"_blank\">technologie de validation de s\u00e9curit\u00e9 continue<\/a>les avantages d\u00e9montr\u00e9s du \u00ab d\u00e9placement vers la gauche \u00bb en tant qu&#8217;\u00e9l\u00e9ment fondamental du SDLC peuvent d\u00e9sormais \u00eatre appliqu\u00e9s \u00e0 votre programme de cybers\u00e9curit\u00e9, avec des r\u00e9sultats d\u00e9passant de loin les aspects purement techniques de la gestion de la posture de s\u00e9curit\u00e9. <\/p>\n<p>Au niveau du d\u00e9veloppement, la conceptualisation du SDLC est le r\u00e9sultat de la convergence de nombreuses pistes de r\u00e9flexion pour optimiser le processus.  Du point de vue de la cybers\u00e9curit\u00e9, le m\u00eame processus de convergence de pens\u00e9e a conduit \u00e0 l&#8217;id\u00e9e de d\u00e9ployer un programme d&#8217;assurance de s\u00e9curit\u00e9 continue en mettant en \u0153uvre les fondamentaux de <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/resources\/check-list-for-xspm\/\" target=\"_blank\">Gestion \u00e9tendue de la posture de s\u00e9curit\u00e9 (XSPM)<\/a> La technologie.<\/p>\n<h2 style=\"text-align: left\">Le cycle de vie de la gestion de la posture de s\u00e9curit\u00e9<\/h2>\n<p>Comme SDLC, XSPM est n\u00e9 de la n\u00e9cessit\u00e9 de prendre en consid\u00e9ration l&#8217;ensemble du cycle de vie de la gestion de la posture de s\u00e9curit\u00e9, y compris la validation d&#8217;un point de vue offensif.  Depuis l&#8217;invention du terme \u00ab d\u00e9placement vers la gauche \u00bb, une pl\u00e9thore de solutions de d\u00e9tection et de r\u00e9ponse int\u00e9grables au processus CI\/CD a \u00e9merg\u00e9.  Pourtant, m\u00eame en postulant une pile d&#8217;outils de d\u00e9tection et de r\u00e9ponse avanc\u00e9e parfaitement int\u00e9gr\u00e9e et optimis\u00e9e, elle souffrira toujours d&#8217;un d\u00e9faut structurel.  D\u00e9tecter et r\u00e9agir est une approche r\u00e9active qui laisse l&#8217;initiative entre les mains de l&#8217;attaquant et pr\u00e9suppose la capacit\u00e9 de d\u00e9tecter toutes les attaques.<\/p>\n<p>En r\u00e9alit\u00e9, la nature de plus en plus dynamique du paysage des cybermenaces et la nature asym\u00e9trique de la cyberd\u00e9fense &#8211; un attaquant n&#8217;a besoin de r\u00e9ussir qu&#8217;une seule fois, alors que les d\u00e9fenseurs doivent bloquer chaque attaque &#8211; signifient que se concentrer exclusivement sur l&#8217;approche r\u00e9active de d\u00e9tection et de r\u00e9ponse est semblable \u00e0 la derni\u00e8re guerre.  Le moment est venu de passer \u00e0 un virage plus \u00e0 gauche vers l&#8217;int\u00e9gration d&#8217;un processus proactif de validation continue de la s\u00e9curit\u00e9.<\/p>\n<p>XSPM inclut tous les \u00e9l\u00e9ments de validation de s\u00e9curit\u00e9 continue et les organise dans un cycle de vie en quatre \u00e9tapes de la posture de s\u00e9curit\u00e9 &#8211; \u00e9valuer, optimiser, rationaliser, assurer.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"320\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1654522633_795_Etre-pro-actif-Decaler-la-validation-de-securite-vers-la-gauche.jpg\" \/><\/div>\n<ul>\n<li>L&#8217;\u00e9tape \u00ab\u00a0\u00c9valuer\u00a0\u00bb consiste \u00e0 lancer un ensemble complet d&#8217;attaques couvrant la cha\u00eene de destruction d&#8217;attaque du d\u00e9but \u00e0 la fin. <\/li>\n<li>L&#8217;\u00e9tape \u00ab\u00a0Optimisation\u00a0\u00bb identifie les contr\u00f4les de s\u00e9curit\u00e9 mal configur\u00e9s, ce qui permet de les optimiser pour souvent compenser les CVE non encore corrig\u00e9s et r\u00e9duire la charge de travail de l&#8217;\u00e9quipe informatique charg\u00e9e des correctifs. <\/li>\n<li>L&#8217;\u00e9tape \u00ab\u00a0Rationalisation\u00a0\u00bb \u00e9value l&#8217;efficacit\u00e9 de la pile d&#8217;outils de d\u00e9tection et de r\u00e9ponse, fournit des informations d\u00e9taill\u00e9es pour am\u00e9liorer leur configuration et identifie les outils qui se chevauchent et les capacit\u00e9s manquantes. <\/li>\n<li>La derni\u00e8re \u00e9tape, \u00abAssuring\u00bb, comprend un processus d&#8217;analyse dynamique qui peut \u00eatre personnalis\u00e9 selon les besoins et utilis\u00e9 pour visualiser les tendances de la posture de s\u00e9curit\u00e9 au fil du temps.<\/li>\n<\/ul>\n<h4 style=\"text-align: left\">La productivit\u00e9 prime sur la s\u00e9curit\u00e9, rendons la s\u00e9curit\u00e9 productive <\/h4>\n<p>L&#8217;optimisation des programmes de cybers\u00e9curit\u00e9 facilit\u00e9e par le cadre et la technologie de XSPM permet une meilleure utilisation des fonds et des ressources investis dans la cybers\u00e9curit\u00e9.  La r\u00e9duction des chevauchements, la minimisation de la fen\u00eatre d&#8217;application des correctifs, la hi\u00e9rarchisation de la charge de travail, la d\u00e9finition d&#8217;indicateurs de performance cl\u00e9s et d&#8217;autres avantages r\u00e9sultent directement de l&#8217;int\u00e9gration de la s\u00e9curit\u00e9 d\u00e8s le d\u00e9but plut\u00f4t que r\u00e9trospectivement. <\/p>\n<p>Pour parvenir \u00e0 cette optimisation combin\u00e9e de l&#8217;allocation des ressources et de la posture de s\u00e9curit\u00e9, les responsables de la s\u00e9curit\u00e9 et de la gestion des risques doivent d&#8217;abord \u00e9tablir une base de r\u00e9f\u00e9rence pertinente et valid\u00e9e.  Avec des donn\u00e9es provenant exclusivement d&#8217;une baie de d\u00e9tection et de r\u00e9ponse, la r\u00e9alit\u00e9 est un processus s\u00e9quentiel non optimis\u00e9 qui pousse l&#8217;\u00e9tape de validation proactive de la s\u00e9curit\u00e9 au fond de la file d&#8217;attente et aboutit \u00e0 contrarier les \u00e9quipes DevOps et SOC cloisonn\u00e9es.  Des objectifs mal align\u00e9s entre les \u00e9quipes entra\u00eenent un flux chaotique d&#8217;informations contradictoires entravant le processus de prise de d\u00e9cision, ralentissant les op\u00e9rations et pouvant conduire \u00e0 un d\u00e9ploiement non s\u00e9curis\u00e9.<\/p>\n<h4 style=\"text-align: left\">Combiner les deux pour un logiciel s\u00e9curis\u00e9 &#8211; les avantages de la cuisson XSPM dans SDLC<\/h4>\n<p>Lorsque les tests de s\u00e9curit\u00e9 ne commencent qu&#8217;\u00e0 la fin du SDLC, les retards caus\u00e9s dans le d\u00e9ploiement en raison de failles de s\u00e9curit\u00e9 critiques non couvertes provoquent des divisions entre les \u00e9quipes DevOps et SOC.  La s\u00e9curit\u00e9 est souvent rel\u00e9gu\u00e9e au second plan et il n&#8217;y a pas beaucoup de collaboration lors de l&#8217;introduction d&#8217;un nouvel outil ou d&#8217;une nouvelle m\u00e9thode, comme le lancement d&#8217;attaques simul\u00e9es occasionnelles contre le pipeline CI\/CD. <\/p>\n<p>Inversement, une fois qu&#8217;une approche compl\u00e8te de validation continue de la s\u00e9curit\u00e9 est int\u00e9gr\u00e9e dans le SDLC, les \u00e9mulations quotidiennes des techniques d&#8217;attaque via la technologie XSPM int\u00e9gr\u00e9e \u00e0 l&#8217;automatisation identifient les erreurs de configuration au d\u00e9but du processus, ce qui encourage une collaboration \u00e9troite entre DevSecOps et DevOps.  Avec une collaboration inter-\u00e9quipes int\u00e9gr\u00e9e \u00e0 la fois sur le cycle de vie de la s\u00e9curit\u00e9 et du d\u00e9veloppement logiciel, en travaillant avec une visibilit\u00e9 imm\u00e9diate sur les implications en mati\u00e8re de s\u00e9curit\u00e9, l&#8217;alignement des objectifs des deux \u00e9quipes \u00e9limine les conflits et les frictions d&#8217;autrefois n\u00e9s de la politique interne. <\/p>\n<h2 style=\"text-align: left\">Cr\u00e9er des r\u00e9sultats exponentiels<\/h2>\n<p>Le passage \u00e0 l&#8217;extr\u00eame gauche avec une validation de s\u00e9curit\u00e9 continue compl\u00e8te vous permet de commencer \u00e0 cartographier et de comprendre les investissements r\u00e9alis\u00e9s dans diverses technologies de d\u00e9tection et de r\u00e9ponse et de mettre en \u0153uvre les r\u00e9sultats pour anticiper les techniques d&#8217;attaque tout au long de la cha\u00eene de mise \u00e0 mort et prot\u00e9ger les exigences fonctionnelles r\u00e9elles.<\/p>\n<p>Le processus fournit aux \u00e9quipes informatiques tout ce dont elles ont besoin pour identifier les opportunit\u00e9s qui renforcent et stabilisent la gestion de la posture de s\u00e9curit\u00e9 d\u00e8s le d\u00e9part, en \u00e9vitant des retards co\u00fbteux dans le d\u00e9ploiement et en minimisant le risque de tentatives de violation r\u00e9ussies, tandis que les \u00e9quipes SOC obtiennent des donn\u00e9es pr\u00e9cises sur lesquelles construire une menace. strat\u00e9gie \u00e9clair\u00e9e.<\/p>\n<p>Comment allez-vous \u00eatre proactif aujourd&#8217;hui sur la posture de s\u00e9curit\u00e9 de votre entreprise\u00a0?<\/p>\n<p><b>Noter &#8211;<\/b> Cet article est \u00e9crit et contribu\u00e9 par Ben Zilberman &#8211; Product Marketing Director chez <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/advanced-purple-team-framework\" target=\"_blank\">Cymuler<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/be-proactive-shift-security-validation.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;approche gauche &#8220;D\u00e9placer (s\u00e9curit\u00e9)&#8221; dans le cycle de vie du d\u00e9veloppement logiciel (SDLC) signifie commencer la s\u00e9curit\u00e9 plus t\u00f4t dans le processus. Lorsque les organisations ont r\u00e9alis\u00e9 que les logiciels ne sont jamais parfaits et sont cribl\u00e9s de nombreux trous exploitables, bogues et vuln\u00e9rabilit\u00e9s de la logique m\u00e9tier qui n\u00e9cessitent de revenir en arri\u00e8re pour [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":186384,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,74753,1643,5453,4157,4159,4171,4170,4167,4160,4163,4162,74752,1835,4172,4169,74754,1218,4166,4164],"class_list":["post-186383","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decaler","tag-etre","tag-gauche","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-proactif","tag-securite","tag-securite-informatique","tag-securite-internet","tag-validation","tag-vers","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/186383","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=186383"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/186383\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/186384"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=186383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=186383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=186383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}