Pourquoi l’utilisation d’un framework de développement d’applications sécurisé est importante

Depuis un an environ, les attaques contre la chaîne d’approvisionnement sont plus fréquentes que jamais, faisant de la sécurité des éditeurs de logiciels une préoccupation majeure pour de nombreuses organisations. Aujourd’hui, les MSP sont dans une position où ils doivent déterminer le niveau de sécurité de leurs fournisseurs en amont, afin de protéger leur activité et leurs clients en aval.

Comment ces attaques se produisent-elles ? Bon nombre sont rendues possibles par des faiblesses dans les processus de développement de la sécurité des logiciels. De nos jours, de nombreuses applications sont conçues pour la vitesse, les performances et la facilité d’utilisation, et privilégient l’agilité à la sécurité. C’est pourquoi la sécurité est souvent envisagée après coup lorsqu’il s’agit du développement d’applications. Pourtant, la couche applicative reste une cible facile, comme en témoigne la majorité des attaques dont elle fait l’objet. Selon un rapport de recherche récemment commandé par le Cyentia Institute, « 56 % des incidents les plus importants de ces cinq dernières années sont liés à une forme de problème de sécurité des applications web… ». En fait, de nombreuses brèches très médiatisées aujourd’hui sont le résultat direct des attaques suivantes contre les applications web :

  • Contrôles d’accès vulnérables – Lorsqu’un utilisateur non autorisé ou un pirate informatique obtient un accès lui permettant de modifier ou de supprimer du contenu, ou pire, de prendre le contrôle total d’une application web.
  • Attaques par injection et par scripting – Un code malveillant est injecté dans une application web, ce qui entraîne souvent la perte ou la suppression de données, un déni de service ou même la compromission complète du système.
  • Falsification de requêtes côté serveur – Dans ce cas, un attaquant fait en sorte qu’une application web renvoie une réponse du serveur vers une destination différente ou inconnue, en contournant les pare-feu et les listes de contrôle d’accès.
  • Applications non corrigées, non prises en charge et obsolètes – Au fil du temps, les pirates trouvent des faiblesses à exploiter même dans les applications les plus robustes, d’où la nécessité de s’assurer que les applications et les systèmes de gestion sont pris en charge et mis à jour.

Il est plus clair que jamais que les applications logicielles sont aujourd’hui essentielles gérer les opérations quotidiennes des prestataires de services informatiques. La majorité des applications ont accès à des données précieuses, par conséquent les dommages causés par l’exploitation d’une application web non sécurisée peuvent être énormes. Qu’il s’agisse de RMM ou d’une solution de continuité d’activité, nous ne pouvons pas sous-estimer l’importance de veiller à ce que les applications soient conçues en tenant compte de la sécurité.

Datto a adopté le modèle BSIMM (Building Security in Maturity Model)

Datto a toujours accordé la priorité à la sécurité. Dans le cadre de notre engagement à protéger les MSP et leurs clients, nous nous sommes donné pour mission de définir la norme de référence en matière de sécurité des chaînes d’approvisionnement des logiciels. À ce titre, nous maintenons un haut niveau de sécurité tout au long du cycle de développement des logiciels et nous évaluons et améliorons constamment nos processus de développement d’applications pour nous aligner sur les normes de sécurité les plus élevées.

La sécurité de la chaîne d’approvisionnement devenant plus importante que jamais, nous considérons la sécurité du développement d’applications comme une composante nécessaire et stratégique de notre activité et avons donc adopté le cadre BSIMM pour démontrer notre engagement envers la communauté des distributeurs en tant que fournisseur et partenaire sécurisé.

Qu’est-ce que BSIMM ?

Le Building Security In Maturity Model (BSIMM) est une étude des initiatives de sécurité logicielle actuelles (à un moment donné) qui quantifie le développement de la sécurité des applications (appsec). BSIMM aide les organisations à planifier, mettre en œuvre et mesurer leurs initiatives de sécurité logicielle. Une évaluation BSIMM fournit une évaluation objective, ponctuelle et basée sur des données, afin que les développeurs puissent améliorer continuellement la sécurité de leurs applications.

Les observations du BSIMM utilisent un framework de 12 pratiques de sécurité logicielle organisées en quatre domaines, à savoir la gouvernance, l’intelligence, les points de contact SSDL et le déploiement, qui englobe actuellement 122 activités uniques réparties sur trois niveaux de maturité. Le domaine de la gouvernance, par exemple, comprend les activités qui relèvent des pratiques d’organisation, de gestion et de mesure d’une initiative de sécurité logicielle.

Pourquoi avons-nous choisi le BSIMM et non d’autres frameworks ?

  • Le BSIMM est la référence mondiale en matière de sécurité des logiciels : Il existe de nombreux cadres de sécurité des applications, mais BSIMM est le seul framework de sécurité des applications qui permet aux organisations d’évaluer formellement la maturité de leur programme de sécurité des applications par rapport à d’autres programmes de pointe, en s’appuyant sur des données d’observation du monde réel provenant d’une partie neutre.
  • Le BSIMM est toujours pertinent : Le modèle est actualisé spécifiquement chaque année sur la base d’une observation continue des activités BSIMM des entreprises participantes.
  • Le BSIMM fournit des données d’évaluation indépendantes : Cela nous permet de communiquer la posture de sécurité des logiciels à nos clients, partenaires et régulateurs avec des données indépendantes et quantitatives à l’appui.
  • La communauté BSIMM : En participant au BSIMM, nous avons un accès direct aux ressources, aux membres de la communauté et aux conférences annuelles qui nous permettent de rester au courant des dernières et des plus grandes tendances en matière de sécurité des applications, de collaborer à la résolution des défis techniques et de contribuer à l’amélioration des pratiques de sécurité des applications dans leur ensemble.

Datto prend la tête du classement

Sachant que le développement d’applications sécurisées est crucial pour la posture de sécurité globale de toute entreprise, Datto s’est engagé à mettre en œuvre l’outil et le framework de référence de la sécurité logicielle du BSIMM.

Lors de la première évaluation du BSIMM pour la solution de supervision et de gestion à distance (RMM) de Datto, Datto a obtenu un classement exceptionnel, rivalisant avec les processus d’application sécurisés et le développement d’applications uniquement réalisés par 128 des développeurs d’applications les plus sécurisés du secteur, utilisés par les principales institutions informatiques et financières et les entreprises du Fortune 500.

Résumé de l’évaluation de Datto RMM

  • Les résultats de Datto ont dépassé l’objectif initial, obtenant un score supérieur à la moyenne dans 8 des 12 pratiques.
  • Elle s’est classée dans les 20 % supérieurs des entreprises qui subissent leur première évaluation.
  • Son score se classe dans le top 5 des entreprises dont le groupe de sécurité logicielle a moins de deux ans.
  • Datto réalise l’activité la plus importante liée à l’amélioration de la sécurité logicielle : elle dispose d’un SSG dédié qui peut obtenir des ressources et conduire le changement organisationnel.

Par rapport aux notes moyennes de tous les participants au BSIMM12, Datto se situe au-dessus de la moyenne dans les domaines suivants : Stratégie et mesures, Conformité et politique, Formation, Modèles d’attaque, Examen du code, Tests de sécurité, Tests de pénétration, et Gestion des configurations et des vulnérabilités. Les notes de Datto sont proches de la moyenne dans les domaines Normes et exigences, et Environnement logiciel. Les résultats de cette observation montrent également que les plans et les priorités de Datto sont bien alignés sur les recommandations et les conseils du BSIMM en vue d’une initiative de sécurité logicielle bien équilibrée.

« Datto réalise l’activité la plus importante liée à l’amélioration de la sécurité logicielle : elle dispose d’un groupe dédié à la sécurité logicielle qui peut obtenir des ressources et conduire le changement organisationnel. »

Cette évaluation initiale est une preuve de l’engagement continu de Datto en matière de développement de code sécurisé, et témoigne du fait que Datto est le seul fournisseur informatique dédié à la communauté des MSP, à non seulement obtenir la validation BSIMM, mais aussi à atteindre ce niveau de notation BSIMM.

Il n’a jamais été aussi important de prendre des décisions en connaissance de cause concernant les logiciels de sécurité.

Visitez le site de Datto pour en savoir plus sur l’évaluation BSIMM de Datto.