Ce que les développeurs doivent savoir sur l’impact des cadres de conformité sur le développement logiciel
Le tout nouveau module de conformité de DeepFactor aide les développeurs à identifier quand les vulnérabilités et les risques de sécurité compromettent les objectifs de conformité
Pour les entreprises numériques d’aujourd’hui, la protection des données des clients doit être une priorité absolue. Cependant, alors que les équipes produit se concentrent sur l’optimisation, la personnalisation et l’expérience utilisateur, de nombreuses entreprises ne sont pas préparées avec la bonne stratégie et le bon plan d’exécution pour assurer la sécurité et la confidentialité des données clients. Cela peut compromettre les opérations commerciales; entraîner de lourdes amendes et pénalités ; et surtout nuire à la confiance et à la fidélité des clients.
– Bloomberg
Heureusement, les entreprises peuvent donner la priorité à la sécurité des données en suivant un certain nombre de cadres de conformité et de réglementation, tels que PCI DSS, SOC 2 et GDPR. Ces exigences réglementaires garantissent qu’une organisation se conforme aux exigences de sécurité minimales spécifiques à l’industrie pour protéger les données des clients, garantir la confidentialité et maintenir l’efficacité.
Pour de nombreuses organisations informatiques, atteindre et maintenir avec succès les exigences de conformité reste une priorité absolue, les DSI espérant ancrer la culture d’entreprise avec de bonnes pratiques de cybersécurité et de gestion des données pour s’assurer que les risques de sécurité des applications sont découverts avant la mise en production.
Conformité vs sécurité
Pour une protection maximale, les entreprises doivent comprendre que la conformité n’est pas la même chose que la sécurité.Cependant, la sécurité est une partie importante de la conformité ! Alors que la conformité se concentre sur le respect des exigences réglementaires externes/tierces (cadres) pour assurer la protection des données collectées et gérées par l’entreprise, la sécurité est un ensemble de systèmes techniques, d’outils et de processus utilisés pour protéger et défendre les informations et la technologie. actifs d’une entreprise. Plus simplement, devenir sécurisé et conforme signifie sécuriser les actifs informationnels, prévenir les dommages, les protéger et détecter les incidents de sécurité. Ce sont les principes fondamentaux des équipes de cybersécurité, qui s’efforcent de mettre en œuvre des cadres techniques et d’assurer la conformité.
Le prochain chapitre de la conformité
Cependant, avec le développement cloud natif accélérant la fréquence et la complexité des versions d’applications, les régulateurs, les auditeurs et les entreprises réalisent rapidement qu’il existe un nouveau domaine d’intérêt pour la sécurité des applications de conformité.
Selon Verizons Data Breach Investigations Report 2021, les applications Web représentent plus de 80 % des violations de données, les pirates abusant d’applications complexes et de chaînes d’approvisionnement compliquées pour accéder à des systèmes vulnérables. Dans le rapport IBM Security Cost of a Data Breach Report 2021 réalisé par le Ponemon Institute, le coût total moyen d’une violation de données aux États-Unis est de 9,05 millions de dollars, dont 38 % sont attribués à l’augmentation du chiffre d’affaires des clients, à la perte de revenus due aux temps d’arrêt du système et à l’augmentation du coût d’acquisition de nouveaux entreprise en raison d’une mauvaise réputation.
C’est pour cette raison que de nombreux régulateurs et organismes de normalisation de l’industrie introduisent des exigences liées aux pratiques de développement d’applications. Par exemple, SOC 2 et la norme PCI DSS nécessitent désormais une variation des éléments suivants :
- Que les organisations développent des applications basées sur des directives de codage sécurisées et préviennent les vulnérabilités de codage telles que les défauts d’injection, les dépassements de mémoire tampon, la mauvaise gestion des erreurs et les scripts intersites.
- Que les organisations effectuent des correctifs logiciels en temps opportun pour tous les systèmes d’exploitation, images de conteneurs, applications et micrologiciels déployés, en particulier ceux présentant des vulnérabilités.
- Que les organisations mettent en œuvre des contrôles de gestion des clés cryptographiques pour protéger la confidentialité, l’intégrité et la disponibilité des informations d’identification.
DevSec-Conformité-Ops
Compte tenu de l’impact que les environnements et les applications complexes peuvent avoir sur la conformité, de nombreuses organisations mettent en œuvre des initiatives telles que DevSecOps pour encourager les développeurs à identifier et à corriger les vulnérabilités et les problèmes de configuration au début du cycle de vie du développement logiciel (SDLC). Avec des violations d’une durée moyenne de 287 jours non découvertes (IBM), garantir la présence de la sécurité à chaque étape du SDLC signifie que les logiciels peuvent être livrés et publiés plus rapidement tout en réduisant l’impact sur les objectifs de conformité.
Malheureusement, comprendre la relation entre la sécurité des applications et les risques de conformité peut être extrêmement difficile pour les développeurs. De nombreuses exigences réglementaires comportent des directives trompeuses et déroutantes et il n’existe aucune source faisant autorité sur les meilleures pratiques de l’industrie. Par exemple, la simple lecture de l’exemple d’exigences de framework ci-dessus amènerait le développeur moyen à se poser de nombreuses questions :
Que sont les directives de codage sécurisé et qui les définit/les applique ?
Qu’est-ce qui est considéré comme opportun et comment pouvons-nous hiérarchiser les composants vulnérables à mettre à niveau ? Comment garantissons-nous la confidentialité, l’intégrité et la disponibilité des informations d’identification ?
Et, surtout
Quel impact cela a-t-il sur les objectifs de conformité de notre organisation et que puis-je faire à ce sujet ?
Cliquez sur le lien ci-dessous pour vous inscrire au webinaire complémentaire :
« Ce que les développeurs doivent savoir sur l’impact des cadres de conformité sur le développement de logiciels »
DeepFactor présente un module de conformité
En mai dernier, le décret exécutif du président Bidens sur l’amélioration de la cybersécurité des nations (mai 2021) a souligné la valeur des SBOM en renforçant l’importance de fournir aux développeurs un enregistrement formel contenant les détails et les relations de la chaîne d’approvisionnement des divers composants utilisés dans la création de logiciels. [to allow] le constructeur pour s’assurer que ces composants sont à jour et pour répondre rapidement aux nouvelles vulnérabilités. Pour cette raison, en juin dernier, nous avons lancé notre module Runtime Software Bill of Materials (SBOM) pour aider les développeurs à cataloguer les dépendances logicielles, y compris les packages open source et tiers et OS utilisés par l’application ; ainsi que des informations de licence et des métriques d’exécution telles que les processus, les ports, les fichiers et les connexions réseau.
Comprendre la chaîne d’approvisionnement de vos applications est une première étape importante pour tout cadre de conformité. Cependant, comme expliqué précédemment, nous savions que les développeurs et les équipes d’ingénierie avaient besoin d’encore plus d’informations pour s’assurer que leurs applications et leur infrastructure répondaient aux exigences commerciales et aux objectifs de conformité. Ainsi, juste avant les vacances, nous avons sorti DeepFactor 2.1 et introduit notre tout nouveau module de conformité.
Ce module aide les développeurs à évaluer l’état de conformité des applications en mappant nos alertesRisques d’appel système, violations de comportement et vulnérabilités au cadre de contrôle sécurisé (SCF). L’extrait suivant de la page d’accueil du SCF explique le cadre plus en détail :
Le (SCF) est un catalogue complet de contrôles conçu pour permettre aux entreprises de concevoir, de construire et de maintenir des processus, des systèmes et des applications sécurisés. En analysant ces milliers d’exigences, nous avons identifié des points communs, ce qui permet de traiter plusieurs milliers de contrôles uniques. par les moins de 750 contrôles qui composent le SCF .. Cela permet à un contrôle SCF bien formulé de répondre à plusieurs exigences. Cet accent mis sur la simplicité et durabilité est la clé du SCF, car il peut permettre à différentes équipes de parler le même langage de contrôle, même si elles peuvent avoir des obligations légales, réglementaires ou contractuelles totalement différentes vers lesquelles elles travaillent.
Forts de ces informations, les développeurs comprennent désormais l’impact que la sécurité des applications peut avoir sur les objectifs de conformité de leur entreprise. Par exemple, DeepFactor peut alerter lorsque des variables d’environnement sont détectées contenant des informations potentiellement sensibles telles que des identifiants d’utilisateur, des mots de passe, des informations d’identification, des secrets, etc. Selon le SCF, cela violerait le contrôle SCF suivant :
Gestion des clés cryptographiques | Des mécanismes existent pour faciliter les contrôles de gestion des clés cryptographiques afin de protéger la confidentialité, l’intégrité et la disponibilité des clés. |
Le nouveau module de conformité de DeepFactors peut :
- Alerter les développeurs à chaque occurrence lorsque les applications violent ce contrôle SCF
- Identifier les cadres de conformité qui sont compromis par la ou les violation(s)
- Fournir des directives aux développeurs sur les mesures correctives et l’éducation.
Voir ci-dessous pour un exemple lorsque des informations sensibles sont découvertes dans la variable d’environnement des applications, DeepFactor informe le développeur du risque pour la conformité :
Configuration sécurisée – PCI DSS v3.2(3.5-3.5.4, 3.6-3.6.8) / SOC 2 Type 2(CC6.1)
Fortes de ces informations, les équipes de développement ont désormais une meilleure visibilité et une meilleure compréhension de l’impact potentiel des risques d’appel système, des violations de comportement et des vulnérabilités !
Aider vos développeurs à écrire du code conforme
Avec des applications publiées plus rapidement que jamais, de nombreuses organisations ont du mal à gérer les risques de vulnérabilité et de sécurité dans le SDLC, en particulier l’impact sur les initiatives descendantes telles que la conformité. DeepFactor s’intègre aux chaînes d’outils existantes des développeurs pour fournir des informations de sécurité adaptées aux applications avec des informations détaillées sur le comportement des applications, les appels système et les traces de pile qui aident à identifier le code vulnérable. Ces informations sont utilisées pour simplifier et accélérer l’adoption de DevSecOps en permettant aux équipes d’ingénierie de développer des applications cloud natives sécurisées basées sur des cadres de conformité aux normes de l’industrie.
Consultez nos notes de version pour plus d’informations sur nos dernières versions. Et si vous souhaitez en savoir plus sur le nouveau module DeepFactors et le voir en action, rejoignez notre webinaire, « Ce que les développeurs doivent savoir sur l’impact des cadres de conformité sur le développement logiciel », mardi 25 janvier, 14h ET / 11h PT.
*** Il s’agit d’un blog syndiqué du Security Bloggers Network du blog d’observation continue de DeepFactor rédigé par Andrew Horrigan. Lisez le message original sur : https://www.deepfactor.io/blog/what-developers-need-to-know-about-the-impact-of-compliance-frameworks-on-software-development