Développé en collaboration entre les deux acteurs, le Guide de sécurité de la chaîne d’approvisionnement logicielle CIS propose en effet plus de 100 recommandations fondamentales qui peuvent être appliquées à une variété de technologies et de plateformes couramment utilisées. En complément, Aqua Security a dévoilé un nouvel outil d’audit open source, Chain-Bench, unique sur le marché et dédié à la chaîne d’approvisionnement logicielle, pour garantir la conformité aux nouvelles directives CIS.

Établir les meilleures pratiques

Si les menaces pesant sur la chaîne d’approvisionnement logicielle ne cessent de croître, des études démontrent régulièrement que la sécurité au sein des environnements de développement reste faible. Ces directives mettent en avant des bonnes pratiques globales. Elles prennent en charge les standards émergeants tels que les cadres SLSA (Supply chain Levels for Software Artifacts) et TUF tout en les complétant avec des conseils fondamentaux sur la définition et l’audit des configurations des plateformes prises en charge par le benchmark.

Cinq catégories de la chaîne d’approvisionnement logicielle sont étudiées : le code source, les pipelines de build, les dépendances, les artefacts et le déploiement (lien vers le blog avec vue d’ensemble).

Le CIS a pour volonté d’étendre ces directives à d’autres Benchmarks pour créer des recommandations de sécurité cohérentes sur l’ensemble des plateformes. Comme pour toutes ses recommandations, ce guide sera publié et révisé à l’échelle mondiale et les retours du marché aideront à confirmer la pertinence de ses futures orientations.

À ce jour, le guide a été vérifié par des experts de CIS, Aqua Security, Axonius, PayPal, CyberArk, Red Hat et d’autres entreprises technologiques de premier plan.

Le premier outil open source de l’industrie dédié à la sécurité de la chaîne d’approvisionnement logicielle

Pour aider les organisations à adopter les directives CIS, Aqua a développé Chain-Bench. Cet outil scanne toute la chaîne DevOps, du code source au déploiement, et simplifie la conformité aux réglementations et standards de sécurité, ainsi qu’aux référentiels internes pour s’assurer que les équipes puissent mettre en œuvre de manière cohérente des contrôles de sécurité logiciels ainsi que les meilleures pratiques.

À propos du Centre pour la sécurité sur Internet (Center for Internet Security, Inc.) CIS
Le Centre pour la sécurité sur Internet (Center for Internet Security, Inc.) est une entité à but non lucratif qui s’appuie sur la puissance d’une communauté informatique mondiale pour protéger les entreprises privées et publiques contre les cybermenaces. Les contrôles et bancs d’essai (CIS Controls and CIS Benchmarks™) fournis par le CIS servent constituent des pratiques reconnues pour sécuriser les systèmes informatiques et les données contre les attaques les plus répandues. Ces recommandations éprouvées sont affinées et vérifiées en permanence par une communauté de professionnels informatiques expérimentés. Notre offre CIS Hardened Images™ garantit des environnements informatiques dans le Cloud à la fois sécurisés, à la demande et évolutifs. Le CIS héberge le Centre de partage et d’analyse de l’information multi-état (Multi-State Information Sharing and Analysis Center® - MS-ISAC®) qui fournit des ressources de prévention, de protection, de réponse et de reprise face aux cybermenaces aux entités administratives étatiques, locales, tribales et territoriales. Quant au centre EI-ISAC® (Elections Infrastructure Information Sharing and Analysis Center®) dédié à l’analyse et au partage de l’information de l’infrastructure électorale, il répond aux besoins de cybersécurité des commissions électorales fédérales, locales et territoriales des États-Unis. Pour en savoir plus, rendez-vous sur CISecurity.org ou suivez-nous sur Twitter : @CISecurity.