Supply chain attacks, product security, Devsecops : les enjeux du développement sécurisé

8 décembre 2021. Jonathan Brossard, CTO de Moabi, était l’invité du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) pour donner la keynote de clôture de son congrès annuel à Reims. Au programme, la supply chain logicielle et le développement sécurisé: Jonathan a présenté son diagnostic et les enjeux de la sécurisation de la chaîne logistique logicielle:

• le développement sécurisé de logiciel est un process en cycle, le SSDLC (Secure Software Development Life Cycle) pour une amélioration en continu
• Pour les logiciels des fournisseurs et de l’Open Source (la chaîne logistique), des vérifications à chaque release sont nécessaires
• Ces vérifications doivent pouvoir se faire sans code source, donner des indicateurs clairs sur la cybersécurité, connaître tous les composants logiciels et amener chaque fournisseur à prendre en compte les retours de cybersécurité en continu.

Depuis le 8 décembre, le tsunami Log4j donne un exemple frappant de la nécessité de connaître tous les composants des logiciels déployés , et l’intérêt d’auditer de façon systématique leur niveau de cybersécurité.