Retour
21 nov. 2024
Atteindre la conformité ISO/IEC 27001 tout au long du cycle de vie du développement logiciel sans MDM/UEM
Frank Lyonnet
Pour les organisations développant des logiciels, le cycle de vie du développement de logiciels (SDLC) englobe plusieurs composants et dispositifs qui accèdent à des actifs critiques tels que le code, les secrets et les données de test. Assurer la protection de ces actifs est essentiel pour se conformer aux normes internationales telles que l'ISO/IEC 27001.
Ce billet de blog explore comment différents composants du SDLC - machines appartenant à l'entreprise, dispositifs des entrepreneurs, et environnements d'intégration continue/déploiement continu (CI/CD) - peuvent être intégrés efficacement dans le système de gestion de la sécurité de l'information (ISMS) sans recourir à des solutions traditionnelles de gestion des appareils mobiles (MDM) ou de gestion unifiée des points de terminaison (UEM). Nous allons exposer les exigences obligatoires abordées par notre solution, EDAMAME, et démontrer comment nous sécurisons tous les appareils, quel que soit le niveau de criticité d'accès. Des références aux contrôles ISO/IEC 27001 spécifiques sont fournies tout au long.
Comprendre les actifs critiques dans le SDLC
Selon l'ISO/IEC 27001, tout composant accédant à des actifs critiques doit être inclus dans l'ISMS. Cela garantit une approche systématique pour gérer les informations sensibles et atténuer les risques. Une classification appropriée des actifs critiques dans le contexte du SDLC est d'une importance primordiale pour une entreprise.
1. Code
Criticité : Le code peut être propriétaire et contenir de la propriété intellectuelle. Un accès ou une fuite non autorisés peuvent entraîner des désavantages concurrentiels ou des vulnérabilités de sécurité. Les entreprises segmentent souvent l'accès en fonction des rôles des employés afin de contrôler les différents niveaux de criticité du code.
Points d'accès : Machines des développeurs, dépôts de code et systèmes CI/CD.
2. Secrets
Criticité : Les secrets incluent des mots de passe, des clés API, des certificats et d'autres identifiants. Une compromission peut entraîner un accès non autorisé aux systèmes et des violations de données. Certains secrets utilisés en production sont critiques, tandis que d'autres ayant un impact limité peuvent être considérés comme non critiques par l'entreprise.
Points d'accès : Environnements de développement, pipelines CI/CD et fichiers de configuration.
3. Données de test
Criticité : Les données de test peuvent inclure des informations sur les clients ou les patients, surtout dans des secteurs comme la santé. Selon des réglementations telles que l'Hébergeur de Données de Santé (HDS) en France, la loi sur la portabilité et la responsabilité de l'assurance santé (HIPAA) aux États-Unis, le règlement général sur la protection des données (RGPD) de l'Union Européenne, ou la loi sur la protection de la vie privée des consommateurs de Californie (CCPA), ces données sont hautement sensibles.
Points d'accès : Environnements de test, machines des développeurs et systèmes CI/CD.
Comprendre les points de terminaison dans le SDLC
Machines des développeurs
Les machines des développeurs sont utilisées par les ingénieurs logiciels pour écrire, tester et déboguer du code. Ces machines peuvent être :
Dispositifs d'entreprise : Possédés et gérés par l'organisation.
Dispositifs personnels : Possédés par des employés (Apportez votre propre appareil - BYOD).
Dispositifs des entrepreneurs : Possédés par des entrepreneurs tiers travaillant avec l'organisation.
CI/CD Runners
Les CI/CD runners sont des serveurs ou des machines virtuelles qui automatisent les tâches dans le pipeline de livraison des logiciels, telles que la construction de code, l'exécution de tests et le déploiement d'applications. Ces derniers peuvent être :
Runners auto-hébergés : Hébergés dans l'infrastructure de l'organisation (dans le cloud ou sur site).
Runners basés sur le cloud : Fournis par des services cloud comme GitHub ou GitLab.
Comment les points de terminaison interagissent avec les actifs critiques
Développement et test
Accès aux données : Les développeurs et les systèmes CI/CD peuvent avoir besoin d'accéder à des données de test critiques pour effectuer des tests et des validations.
Dépôts de code : Le code source doit être récupéré sur les machines des développeurs ou les systèmes CI/CD pour être modifié, compilé ou testé.
Gestion des secrets : Même s'ils sont stockés dans un coffre-fort, les secrets sont récupérés sur les machines des développeurs ou les systèmes CI/CD lorsqu'ils sont nécessaires pour des tests ou des constructions.
Tous les composants du SDLC - machines appartenant à l'entreprise, dispositifs des entrepreneurs et environnements CI/CD - doivent être inclus dans l'ISMS en fonction de leur accès à des données critiques.
Contrôles obligatoires pour l'inclusion dans l'ISMS en conformité avec l'ISO/IEC 27001
Pour garantir la conformité, les contrôles suivants doivent être mis en œuvre sur tous les points d'accès appartenant à l'ISMS, quel que soit leur propriétaire :
1. Contrôle d'accès
Principe du moindre privilège
Exigence : Les utilisateurs doivent avoir le minimum d'accès nécessaire à l'actif critique.
Mise en œuvre : Attribuer des rôles et des autorisations avec soin.
Références : ISO/IEC 27001 : A.9.1.2
Authentification multi-facteurs (MFA)
Exigence : MFA pour accéder aux systèmes manipulant des actifs critiques.
Mise en œuvre : Utiliser des solutions MFA compatibles avec tous les types d'appareils.
Références : ISO/IEC 27001 : A.9.4.2
2. Chiffrement
Données au repos
Exigence : Chiffrer les actifs critiques stockés sur les appareils.
Mise en œuvre : Utiliser des outils de chiffrement de disque complet.
Références : ISO/IEC 27001 : A.10.1
Données en transit
Exigence : Sécuriser les canaux de transmission des données.
Mise en œuvre : Utiliser HTTPS, SSH et VPN.
Références : ISO/IEC 27001 : A.13.2.3
3. Protection des points d'accès
Antivirus et anti-malware
Exigence : Protéger contre les logiciels malveillants.
Mise en œuvre : Installer et mettre à jour des logiciels de sécurité.
Références : ISO/IEC 27001 : A.12.2.1
Configurations de pare-feu
Exigence : Contrôler le trafic réseau.
Mise en œuvre : Activer les pare-feux sur tous les appareils.
Références : ISO/IEC 27001 : A.13.1.1
Mises à jour régulières et gestion des correctifs
Exigence : Garder les systèmes à jour.
Mise en œuvre : Faire respecter des politiques de mise à jour sur tous les appareils.
Références : ISO/IEC 27001 : A.12.6.1
4. Surveillance et journalisation
Journaux d'audit
Exigence : Enregistrer les accès et les activités.
Mise en œuvre : Utiliser des solutions de journalisation qui fonctionnent sur différents appareils.
Références : ISO/IEC 27001 : A.12.4.1
5. Configuration sécurisée
Dureté du système
Exigence : Désactiver les services non nécessaires.
Mise en œuvre : Appliquer des normes de configuration.
Références : ISO/IEC 27001 : A.12.6.2
Gestion de la configuration
Exigence : Maintenir des configurations sécurisées.
Mise en œuvre : Utiliser des outils pour faire respecter les paramètres.
Références : ISO/IEC 27001 : A.12.5.1
Pourquoi l'approche Admin-Down de MDM/UEM est inadaptée au SDLC
Traditionnellement, les organisations ont compté sur des approches Admin-Down, en particulier par le biais de systèmes de gestion des appareils mobiles (MDM) et de gestion unifiée des points de terminaison (UEM), pour mettre en œuvre les mesures de sécurité requises pour la conformité à l'ISO/IEC 27001. Ces solutions dépendent d'un contrôle total des appareils par un administrateur, imposant des contraintes sécurisées mais rigides autour du SDLC. Cependant, ces méthodes échouent souvent à répondre à la nature dynamique et diversifiée des environnements modernes de développement de logiciels. Voici pourquoi l'approche Admin-Down est inadaptée au SDLC :
1. Fardeau administratif élevé
Consommation de ressources : Les équipes informatiques doivent gérer, surveiller et appliquer des politiques de sécurité sur chaque appareil. Cette surveillance constante demande un temps et des ressources considérables, ce qui peut entraîner une pression sur les budgets organisationnels et réduire l'efficacité globale.
2. Résistance des utilisateurs
Restrictions perçues : Des contrôles administratifs stricts peuvent amener les utilisateurs à se sentir micromanagés, entraînant frustration et baisse du moral.
Solutions de contournement potentielles : Les utilisateurs peuvent chercher à contourner les mesures de sécurité pour retrouver le contrôle de leurs appareils, créant involontairement des vulnérabilités de sécurité.
3. Incompatibilité avec les dispositifs des entrepreneurs
Problèmes juridiques et de confidentialité : L'application des contrôles administratifs sur des appareils non corporatifs peut entraîner des problèmes de confidentialité et des complications juridiques potentielles, surtout lorsqu'il s'agit de matériel appartenant à des entrepreneurs.
4. Flexibilité limitée pour les développeurs
Accès restreint : Les développeurs nécessitent souvent des privilèges élevés pour effectuer leur travail, comme installer des logiciels, déboguer ou accéder à des ressources système spécifiques. Les outils Admin-Down peuvent empêcher les développeurs d'exécuter les actions nécessaires, freinant leur productivité et leur innovation.
Contournement des contrôles : La rigidité des approches Admin-Down peut amener les développeurs à désactiver les contrôles MDM/UEM pour retrouver l'accès nécessaire, créant des vulnérabilités de sécurité.
5. Défis de scalabilité
Coûts opérationnels : À mesure que les organisations grandissent, la mise à l'échelle des solutions Admin-Down pour accueillir plus d'appareils et d'utilisateurs devient de plus en plus complexe et coûteuse.
Coût de maintenance : Des mises à jour continues et l'application de politiques sur un nombre croissant d'appareils peuvent submerger les équipes informatiques.
Présentation d'EDAMAME : L'approche User-Up sans UEM
EDAMAME offre une alternative distincte aux solutions de gestion unifiée des points de terminaison (UEM). Elle est conçue pour habiliter les utilisateurs tout en garantissant la conformité aux contrôles ISO/IEC 27001. En déplaçant la responsabilité de la conformité à la sécurité vers les utilisateurs de manière soutenue et guidée, EDAMAME surmonte les limitations des stratégies Admin-Down sans recourir à des outils de gestion invasive des appareils.
Caractéristiques clés d'EDAMAME
Autonomisation des utilisateurs
Les utilisateurs installent l'application EDAMAME sur leurs appareils, qui les guide pour répondre aux contrôles de sécurité requis, tels que l'activation du chiffrement ou la mise à jour du logiciel antivirus. Cette approche centrée sur l'utilisateur garantit que les mesures de sécurité sont appliquées de manière appropriée sans imposer de restrictions inutiles.
Vérification de conformité continue
L'application EDAMAME vérifie en continu que l'appareil est conforme aux politiques de sécurité de l'organisation alignées sur les contrôles ISO/IEC 27001. Cette surveillance proactive garantit que les appareils restent sécurisés au fil du temps, s'adaptant aux nouvelles menaces et aux exigences de conformité.
Intégration du contrôle d'accès
Si un appareil devient non conforme, EDAMAME s'intègre aux systèmes de contrôle d'accès pour restreindre automatiquement l'accès aux actifs critiques jusqu'à ce que la conformité soit rétablie. Cette approche dynamique minimise les risques de sécurité en garantissant que seuls les appareils conformes peuvent accéder à des données sensibles.
Respect de la confidentialité
EDAMAME ne collecte que les informations essentielles nécessaires pour vérifier la conformité, respectant ainsi la vie privée des utilisateurs. Cette approche rend EDAMAME idéale pour les appareils personnels et ceux appartenant à des entrepreneurs, garantissant une intégration fluide sans accès intrusif aux données.
Application des contrôles ISO/IEC 27001 sur tous les points de terminaison du SDLC avec EDAMAME
La solution EDAMAME permet aux utilisateurs de répondre aux contrôles ISO/IEC 27001 sur leurs appareils, garantissant que la conformité est maintenue sur tous les points de terminaison. Voici comment EDAMAME applique ces contrôles efficacement :
1. Amélioration du contrôle d'accès
Responsabilité des utilisateurs : Les utilisateurs s'assurent que leurs appareils répondent aux exigences de contrôle d'accès, telles que l'activation de la MFA et le respect du principe du moindre privilège.
Gestion dynamique des accès : EDAMAME s'intègre aux systèmes d'authentification pour accorder ou révoquer l'accès en fonction de l'état de conformité en temps réel.
2. Mise en œuvre du chiffrement
Mise en œuvre guidée : Le client EDAMAME assiste les utilisateurs dans l'activation du chiffrement de disque complet et la sécurisation des données en transit.
Vérification de conformité : Vérifie en continu que les normes de chiffrement sont maintenues sur l'appareil.
3. Protection des points de terminaison
Mises à jour pilotées par l'utilisateur : Les utilisateurs sont invités à installer un logiciel antivirus, à activer des pare-feux et à appliquer des correctifs de sécurité.
Vérifications de conformité automatisées : EDAMAME surveille ces protections et informe les utilisateurs des actions requises.
4. Surveillance et journalisation
Journalisation transparente : EDAMAME collecte des informations sur l'état de conformité sans surveillance intrusive, respectant la vie privée des utilisateurs.
Reporting centralisé : Les administrateurs reçoivent des rapports de conformité, leur permettant de démontrer l'adhésion aux exigences de l'ISO/IEC 27001 sans gérer les dispositifs individuels.
5. Gestion de configuration sécurisée
Orientation de l'utilisateur : Fournit des instructions pour le renforcement système et les configurations sécurisées.
Assurance de conformité : Garantit que les appareils adhèrent aux politiques de sécurité de l'organisation grâce à la participation des utilisateurs.
Avantages de l'approche User-Up avec EDAMAME
Adopter l'approche User-Up d'EDAMAME offre de nombreux avantages par rapport aux méthodes traditionnelles Admin-Down. Voici un tableau comparatif soulignant les principaux avantages.
Réduction de la charge administrative
Efficacité : Les administrateurs n'ont plus besoin de pousser les mises à jour ou d'appliquer manuellement les politiques sur des appareils divers.
Scalabilité : Le modèle User-Up se développe sans effort, même lorsque le nombre d'utilisateurs ou d'appareils augmente.
Engagement et responsabilité des utilisateurs renforcés
Propriété : Les utilisateurs prennent un rôle actif dans le maintien de la sécurité de leur appareil, ce qui conduit à un meilleur respect des politiques.
Conscience : Une implication accrue des utilisateurs favorise une culture de sensibilisation à la sécurité au sein de l'organisation.
Compatibilité avec les dispositifs des entrepreneurs
Respect de la vie privée : Les entrepreneurs peuvent utiliser leurs propres appareils sans contrôles administratifs intrusifs, car le client d'EDAMAME garantit la conformité sans accéder à des données personnelles.
Facilité d'intégration : Intégration rapide des entrepreneurs dans l'environnement sécurisé sans procédures complexes de gestion des appareils.
Frustration des utilisateurs minimisée
Autonomie : Les utilisateurs conservent le contrôle de leurs appareils, réduisant la frustration liée aux contrôles administratifs restrictifs.
Flux de travail transparent : EDAMAME fonctionne discrètement, s'assurant que les mesures de sécurité n'entravent pas la productivité.
Réponse immédiate à la sécurité
Application en temps réel : L'accès aux actifs critiques est automatiquement restreint si un appareil n'est plus conforme, atténuant rapidement les risques de sécurité.
Conformité dynamique : Dès que les utilisateurs rectifient les problèmes de conformité sur leurs appareils, l'accès est rétabli, minimisant ainsi le temps d'arrêt.
Comment mettre en œuvre EDAMAME : Un guide simple
Mettre en œuvre EDAMAME dans le SDLC de votre organisation est simple et conçu pour s'intégrer parfaitement à vos flux de travail existants. Suivez ces étapes simples pour améliorer votre sécurité et votre productivité en toute transparence :
Téléchargez l'application EDAMAME
Visitez le magasin d'applications pertinent pour les appareils de vos développeurs - que ce soit le Microsoft Store, l'App Store, le Snap Store, le Mac App Store ou Google Play - et téléchargez l'application de sécurité EDAMAME. Cette application est conçue pour sécuriser les postes de travail des développeurs et des appareils des entrepreneurs sans perturber leur flux de travail quotidien.
Installez et configurez
Installez l'application EDAMAME sur tous les appareils concernés, en veillant à la compatibilité sur Windows, macOS, Linux, iOS et Android. Le processus d'installation est léger et non intrusif, permettant aux développeurs de conserver les droits d'administration nécessaires à leurs tâches tout en maintenant la sécurité.
Utilisez l'outil d'aide open source pour la remédiation système
Tirez parti de nos outils d'aide open-source disponibles sur GitHub pour assister la remédiation du système. Ces outils permettent aux développeurs, qui sont des résolveurs de problèmes naturels, de jouer un rôle actif dans la résolution des vulnérabilités et le renforcement de la sécurité du système sans intervention manuelle extensive.
Intégrez EDAMAME dans votre CI/CD
Vérifiez notre GitHub et installez la commande CLI edamame_posture pour Windows / Linux / macOS conçue pour durcir et garantir un accès sécurisé au code et aux secrets depuis n'importe quelle machine, y compris les machines de test et les runners CI/CD. Utilisez les wrappers GitHub / GitLab pour une configuration facile.
Surveillez et maintenez
Utilisez le Hub EDAMAME pour surveiller et enregistrer en continu votre posture de sécurité à travers tout le SDLC. Examinez régulièrement les tableaux de bord et les alertes pour rester en avance sur les menaces potentielles et maintenir la conformité avec les normes de l'industrie. Cette maintenance continue garantit que la sécurité évolue avec vos processus de développement.
EDAMAME est conçu pour s'intégrer facilement à votre flux de travail de développement :
Essai gratuit : Les entreprises peuvent expérimenter les avantages d'EDAMAME sans coûts initiaux.
Intégration autonome : Intégrez rapidement et facilement EDAMAME via notre portail à hub.edamame.tech.
Outils open source : Explorez les outils sur github.com/edamametechnologies.
Conclusion
Atteindre la conformité ISO/IEC 27001 sur tous les appareils impliqués dans le SDLC est essentiel mais difficile. Les approches Admin-Down traditionnelles échouent souvent en raison d'une charge administrative élevée, de la frustration des utilisateurs et d'une incompatibilité avec les appareils non corporatifs.
EDAMAME Technologies fournit une solution User-Up qui permet aux utilisateurs de jouer un rôle actif dans le maintien de la conformité. En s'assurant que les appareils répondent aux contrôles de sécurité et en s'intégrant aux systèmes de contrôle d'accès pour restreindre l'accès lorsque cela est nécessaire, EDAMAME équilibre efficacement la sécurité et la productivité. Cette approche réduit non seulement la charge de travail administrative mais améliore également la satisfaction des utilisateurs et est compatible avec les dispositifs des entrepreneurs.
À une époque où les menaces cybernétiques sont de plus en plus sophistiquées et où les cadres réglementaires évoluent constamment, les organisations ne peuvent pas se permettre de laisser un point de terminaison non sécurisé. Mettre en œuvre une solution comme EDAMAME, qui s'appuie sur la responsabilité des utilisateurs et le contrôle d'accès automatisé, est un mouvement stratégique vers une sécurité robuste et une conformité. En adoptant cette approche User-Up, les organisations peuvent naviguer en toute confiance dans les complexités de la conformité à l'ISO/IEC 27001, protéger leurs actifs critiques et favoriser un environnement où la sécurité et la productivité coexistent harmonieusement.
Frank Lyonnet
Partagez ce post