Le déploiement 2FA de GitHub renforce la sécurité de la chaîne d’approvisionnement
Dans le but d’améliorer la sécurité de la chaîne d’approvisionnement logicielle, GitHub a déployé avec succès l’authentification obligatoire à deux facteurs (2FA) pour les contributeurs de code sur sa plateforme.
Le déploiement de GitHubs 2FA annoncé en mai 2022 visait à aborder le premier maillon critique de la chaîne d’approvisionnement logicielle en sécurisant les développeurs responsables de la conception, de la création et de la maintenance des logiciels sur lesquels nous comptons tous.
Les résultats sont en
Après un an de préparation méticuleuse, y compris des efforts approfondis de recherche et de conception pour optimiser l’expérience utilisateur, GitHub a partagé les résultats de la première phase de sa campagne d’inscription 2FA :
- Augmentation de 54 % de l’adoption du 2FA parmi tous les contributeurs actifs sur GitHub, avec un taux d’adhésion de près de 95 % parmi les contributeurs de code qui ont reçu l’exigence du 2FA en 2023.
- Adoption significative de méthodes 2FA plus sécurisées, telles que les mots de passe. Depuis la version bêta publique des clés d’accès en juillet 2023, près de 1,4 million de clés d’accès ont été enregistrées sur GitHub, dépassant rapidement d’autres formes de 2FA soutenues par WebAuthn dans l’utilisation quotidienne.
- Une réduction de 25 % de la part globale des SMS comme deuxième facteur, GitHub encourageant intentionnellement les utilisateurs à adopter des alternatives plus sécurisées lorsque cela est possible.
- Une probabilité 47 % plus élevée pour les utilisateurs de configurer deux formes ou plus de 2FA, réduisant ainsi le risque de verrouillage de compte et offrant une expérience utilisateur plus fluide et plus fiable.
- Réduction d’un tiers des tickets d’assistance liés à 2FA, attribuée aux investissements importants dans l’expérience utilisateur et la conception avant le déploiement.
- Réduction de 54 % des tickets d’assistance pour la récupération de compte 2FA nécessitant une intervention humaine importante, grâce à l’optimisation et à l’automatisation des flux de travail.
La transparence de GitHub quant à son approche a inspiré d’autres organisations telles que RubyGems, PyPI et AWS à mettre en œuvre leurs propres exigences 2FA, renforçant ainsi la sécurité de la chaîne d’approvisionnement logicielle.
Regarder vers l’avant
Tout en célébrant les premières réalisations, GitHub reconnaît que la sécurisation de l’écosystème logiciel est un effort continu. La société évalue les moyens d’exiger qu’encore plus d’utilisateurs de GitHub s’inscrivent à 2FA en 2024 tout en continuant à surveiller et à améliorer l’expérience utilisateur.
GitHub étudie également des fonctionnalités de sécurité de compte supplémentaires telles que la liaison de session et de jeton pour mieux gérer le risque de compromission de compte, avec ou sans 2FA. En outre, la plate-forme vise à continuer de favoriser l’adoption des facteurs d’authentification les plus sécurisés disponibles, tels que les mots de passe ou les clés de sécurité, et à aider les développeurs à « évoluer » vers des types d’authentificateurs plus sécurisés.
GitHub exhorte les utilisateurs à activer 2FA sur leurs comptes, à adopter des mots de passe ou à exiger 2FA pour leurs organisations, soulignant la responsabilité collective dans la sauvegarde de la chaîne d’approvisionnement en logiciels.
(Photo de Praveen Thirumurugan)
Voir également: Renforcer la sécurité des applications avec l’aide de Terraform
Vous souhaitez en savoir plus sur la cybersécurité et le cloud auprès des leaders du secteur ? Découvrez Cyber Security & Cloud Expo qui se déroulera à Amsterdam, en Californie et à Londres. Cet événement complet est co-organisé avec d’autres événements de premier plan, notamment BlockX, Digital Transformation Week, IoT Tech Expo et AI & Big Data Expo.
Découvrez d’autres événements et webinaires technologiques d’entreprise à venir proposés par TechForge ici.