Recherche

Sécurité de la supply chain logicielle

Protégez votre supply chain logicielle grâce à des politiques ad hoc et une visibilité complète sur les composants logiciels et les pipelines de déploiement

Demandez votre essai gratuit

Le développement cloud-native s’appuie sur des supply chains logicielles pour accroître la productivité des développeurs et accélérer le lancement de nouvelles fonctionnalités. Seulement voilà, ces chaînes logistiques introduisent des risques et une complexité uniques en intégrant des logiciels et outils tiers dans vos workflows de développement. Vous devez donc ériger des remparts qui protègent en amont les supply chains logicielles contre les menaces, sans pour autant compromettre l’agilité des développeurs.

Lisez la dernière étude Unit 42 sur les risques de la supply chain logicielle.

Télécharger le rapport

Les composants tiers non sécurisés représentent une cause majeure des attaques

Les composants open-source externes tels que les modèles IaC (Infrastructure as Code), les packages et les images containerisées aident les développeurs à accroître leur productivité. Le problème, c’est qu’ils abritent des vulnérabilités et sont non sécurisés par défaut.

Sans une visibilité permanente et proactive sur les failles et les erreurs de configuration, les développeurs risquent d’injecter des composants non sécurisés dans leurs applications. Ils s’exposent alors à une cacophonie d’alertes ainsi qu’à la propagation de vulnérabilités dans le runtime, ces dernières pouvant être exploitées lors d’une attaque de la supply chain logicielle.

Les pipelines vulnérables constituent des points d’entrée pour les attaquants

Les référentiels VCS et les pipelines CI/CD aident les équipes cloud-native à accélérer les délais de lancement. Mais ces ressources sont permissives par défaut et manquent de protections contre les push négligents, l’injection de code ou les attaques par empoisonnement. De plus, les configurations mal sécurisées peuvent ouvrir l’accès au code propriétaire et aux systèmes métiers. Une fois ces privilèges en poche, les attaquants sont libres de divulguer des données, d’injecter du code malveillant ou d’exploiter d’autres composants logiciels vulnérables.

D’où l’importance d’une surveillance automatisée de la supply chain pour garantir la sécurité de tous les référentiels, registres et pipelines.

Le suivi complet des ressources du code au cloud relève de la gageure

Les supply chains logicielles cloud-native sont des systèmes interconnectés en perpétuelle évolution, ce qui rend difficile le maintien d’une visibilité complète. Et pour ne rien arranger, les solutions spécialisées n’offrent pas la couverture nécessaire pour surveiller les ressources, les packages, les vulnérabilités et les erreurs de configuration du code jusqu’au cloud.

En l’absence d’une visibilité contextualisée sur les stacks cloud-native et sur le cycle de développement, prioriser les problèmes de sécurité en fonction de l’exposition et des risques concrets s’avère donc très compliqué.

Sécurisez les composants tiers et les pipelines de déploiement

Prisma Cloud offre aux entreprises une visibilité sur chaque composant de leurs supply chains logicielles – du code jusqu’aux pipelines de déploiement –, tout en leur permettant de veiller en permanence à la sécurité des configurations. Grâce à des sources de données hautement fiables, associées à des intégrations natives avec les outils de développement, notre solution simplifie la gestion et l’élimination des risques liés aux supply chains externes :

Visualisation des risques liés aux composants logiciels et aux pipelines de déploiement
Intégration aux outils et aux workflows de développement
Moteurs avancés d’analyse des vulnérabilités et des erreurs de configuration

LA SOLUTION PRISMA CLOUD

Notre approche de la sécurité de la supply chain

Couverture et visualisation consolidées de la supply chain

Grâce au graphe de la supply chain de Prisma Cloud, les entreprises peuvent visualiser chaque composant de leur chaîne logistique pour mieux cerner tous les risques connexes. Le graphe dresse un inventaire exhaustif et centralisé du code et des pipelines, complété par une superposition de données liées à la posture de sécurité. Résultat : les équipes bénéficient d’une représentation visuelle complète de toutes les dépendances d’applications et d’infrastructure. Ces éclairages leur permettent de prioriser les risques d’un bout à l’autre de la supply chain en déployant efficacement les ressources nécessaires pour corriger les vulnérabilités exploitables.

Visibilité et inventaire de la supply chain logicielle
Le graphe de la supply chain fournit un inventaire consolidé de vos pipelines et de votre code. La visualisation de toutes ces dépendances vous permet de préciser les contours de la surface d’attaque de votre supply chain. Vous avez toutes les cartes en main pour prendre les mesures nécessaires de renforcement la sécurité, par exemple en exploitant la fonctionnalité de correction groupée des pull requests de Prisma Cloud. Celle-ci permet aux équipes de créer une pull request unique qui appliquera un correctif automatisé afin d’éliminer plusieurs violations à la fois.
Analyse contextualisée de la composition logicielle (SCA)
Prisma Cloud analyse les packages open-source avec une exploration illimitée de l’arborescence des dépendances et des corrections de version granulaires. En recoupant les vulnérabilités et les erreurs de configuration, ainsi qu’en proposant une intégration native aux outils de développement, l’analyse SCA de Prisma Cloud aide les développeurs à prioriser et à accélérer l’élimination des risques open-source.
Sécurité IaC leader
Prisma Cloud s’appuie sur Checkov, le moteur PaC (Policy as Code) open-source le plus robuste du marché, ainsi que sur des milliers de politiques pour appliquer de façon proactive les bonnes pratiques de sécurité du cloud. Notre plateforme détecte les problèmes de sécurité cloud en amont du cycle de développement et fournit les correctifs nécessaires pour sécuriser les déploiements IaC.

Couverture et visualisation consolidées de la supply chain

Sécurisation des référentiels et des registres

Pour affronter la complexité croissante des codebases cloud-native, les entreprises font souvent appel à des outils tiers pour stocker, versionner et gérer leur code. Or, puisque les systèmes de contrôle des versions (VCS) comme GitHub, GitLab ou Bitbucket gèrent le code et contiennent des données propriétaires ainsi que des systèmes critiques, ils doivent impérativement être sécurisés. D’autre part, les référentiels d’images tels que DockerHub sont essentiels pour stocker et permettre l’accès rapide aux images containerisées. Toutefois, sans la mise en œuvre de protections adéquates, ils peuvent aussi introduire des vulnérabilités ou des images malveillantes. C’est pourquoi les politiques de Prisma Cloud évaluent les paramètres VCS de l’entreprise en continu. Elles vérifient que ces systèmes sont mis à jour avec les bonnes pratiques de sécurité, telles que définies par les benchmarks SLSA et CIS.

Analyse automatique des paramètres VCS de l’entreprise
Dans le feu de l’action, les équipes négligent parfois les paramètres VCS et supposent que toutes les contributions de code sont sécurisées. Les politiques de Prisma Cloud vérifient en continu l’application des bonnes pratiques VCS, comme l’authentification unique (SSO) et l’authentification à deux facteurs (2FA), afin d’empêcher la prise de contrôle d’un compte.
Analyse des paramètres de référentiels VCS
Prisma Cloud renforce la sécurité VCS en aidant les équipes à appliquer des règles de protection des sites distants. L’objectif : empêcher l’injection de code malveillant et d’autres activités suspectes ou non autorisées. Grâce à l’application des politiques et des règles susmentionnées, les équipes savent que leurs référentiels VCS sont sécurisés et que le code n’est intégré qu’après un examen approprié.
Sécurité permanente des registres et images de confiance
Les registres de containers simplifient le stockage et le déploiement d’images containerisées. Ils présentent néanmoins des enjeux de sécurité uniques que les équipes cloud-native doivent résoudre pour éviter l’empoisonnement d’images ou le déploiement d’images non sécurisées. Prisma Cloud analyse et surveille continuellement les registres de containers afin de bloquer le déploiement d’images vulnérables ou non approuvées, tout en permettant aux équipes de définir des règles de déploiement granulaires pour alerter ou prévenir des problèmes de vulnérabilité ou de conformité spécifiques.

Sécurisation des pipelines CI/CD

Les pipelines CI/CD aident les équipes cloud-native à accélérer le lancement de nouvelles fonctionnalités. Seulement voilà, comme ces pipelines ne sont pas sécurisés par défaut, leurs vulnérabilités sont fréquemment exploitées par les groupes malveillants pour lancer des attaques contre la supply chain. La bibliothèque de politiques de Prisma Cloud s’appuie sur les bonnes pratiques CI/CD pour permettre aux équipes d’évaluer en continu la sécurité de leurs pipelines, le tout avec les mêmes fonctionnalités d’automatisation prises en charge par ces pipelines.

Protections contre l’injection et l’empoisonnement de code
Grâce aux politiques CI/CD clé en main de Prisma Cloud, les entreprises peuvent automatiser la création et l’application de protections, comme le blocage de commandes non sécurisées ou de fonctionnalités bêta.
Détection et suppression des secrets codés en dur
En dépit des bonnes pratiques, les équipes sont parfois amenées à coder des secrets en dur dans des modèles IaC ou des fichiers de configuration CI/CD. Grâce à l’analyse des secrets de Prisma Cloud, les entreprises peuvent identifier ces données rapidement et empêcher leur exposition publique.
Application automatique du principe du moindre privilège
Prisma Cloud ajuste automatiquement les règles IAM à l’aide du « Policy as Code ». Grâce à son analyse et son audit continus des politiques IAM existantes, la plateforme supprime les autorisations inutilisées et corrige les accès trop permissifs à l’environnement hôte CI/CD. Notre solution permet en outre aux équipes de réduire le risque d’erreur humaine en validant et en déployant automatiquement du code sécurisé.

Génération d’une nomenclature des composants logiciels (SBOM) consolidée

Une SBOM dresse l’inventaire complet des composants logiciels de l’entreprise et de tous les problèmes de sécurité connexes. Son exhaustivité dépend des informations qui lui parviennent. Or, l’utilisation de solutions disparates requiert une déduplication et une consolidation manuelles. Prisma Cloud simplifie la tâche des équipes en générant une nomenclature unique des composants d’applications et d’infrastructure cloud-native. Les entreprises peuvent ainsi partager facilement leurs inventaires et les informations liées aux risques avec des clients internes ou externes.

Exportations consolidées et flexibles
Une SBOM complète intègre toutes les ressources IaC, les packages open-source, les images, les vulnérabilités connues, les erreurs de configuration ainsi que les licences open-source. Prisma Cloud exporte les SBOM dans des formats de rapport standardisés, y compris CSV et CycloneDX.
Conformité avec les exigences SBOM des fournisseurs
Les clients finaux, à l’image des administrations, exigent des SBOM de plus en plus rigoureuses afin de répondre aux principaux enjeux de conformité. Les SBOM aident à assurer la responsabilité des fournisseurs pendant les processus d’achat et à garantir que le risque attribué aux prestataires individuels est pris en compte dans l’évaluation continue des risques de l’entreprise.
Maintien d’un inventaire logiciel fiable et précis
En comparant les SBOM générées avant et après le déploiement, les entreprises peuvent détecter et corriger les falsifications pour maintenir la validité et la fiabilité des informations stockées dans la nomenclature.