Les développeurs et fabricants de logiciels du monde entier sont la cible d’attaques de cybercriminels. Ce n’est pas que nous soyons à une période de l’année où ils se répandent davantage et ils se barricadent, devant les bureaux, avec leurs méchants ordinateurs portables cherchant à tout faire sauter, non. Ils sont toujours là en réalité, essayant de violer la sécurité de l’information, et dans cet article nous allons vous donner quelques conseils sur le sujet.

Personne n’est à l’abri de toutes les menaces

Qu’il s’agisse d’une attaque moyenne ou sophistiquée et destructrice (comme cela est arrivé à nos concurrents deSolarwinds et Kaseya) e mal ne se repose jamais. L’ensemble du secteur est confronté à un paysage de menaces de plus en plus exaspérant. Presque toujours, nous nous réveillons avec des nouvelles d’une cyberattaque imprévue qui entraîne la vague conséquente de mises à jour urgentes et nécessaires pour que notre système soit sûr… Personne n’est sauvé, de vrais géants sont tombés. La complexité de l’écosystème logiciel actuel signifie que la vulnérabilité d’une petite bibliothèque affecte des centaines d’applications. Cela s’est produit dans le passé (openssh, openssl, zlib, glibc…) et cela continuera de se produire.

Comme nous l’avons souligné, ces attaques peuvent être très sophistiquées ou résulter d’une combinaison de faiblesses tierces qui rendent le client vulnérable, non pas à cause du logiciel, mais à cause de certains composants de son environnement. C’est pourquoi les professionnels de l’informatique doivent exiger que leurs fournisseurs de logiciels prennent la sécurité au sérieux, à la fois du point de vue de l’ingénierie et du point de vue de la gestion des vulnérabilités.

Nous le répétons : Personne n’est à l’abri de toutes les menacesPersonne n’est à l’abri de toutes les menaces. Le fournisseur de logiciels qui a fait cesser ses activités hier pourrait très probablement être la nouvelle victime de demain. Oui, l’autre jour c’était Kaseya, demain ça peut être nous. Peu importe ce que nous faisons, il n’y a pas de sécurité à 100 %, personne ne peut le promettre. La question n’est pas d’empêcher que quelque chose de mauvais se produise, la question est de savoir comment gérer cette situation et s’en sortir.

Pandora FMS et le SMSI ISO 27001

Tout fournisseur de logiciel peut être attaqué et chaque fournisseur doit prendre les mesures supplémentaires nécessaires pour se protéger et protéger ses utilisateurs. Pandora FMS encourage nos clients actuels et futurs à demander plus d’attention à leurs fournisseurs à ce sujet. Nous nous incluons.

Pandora FMS a toujours pris la sécurité très au sérieux, à tel point que depuis des années, nous avons une politique publique de « Vulnerability disclosure policy » et Ártica PFMS en tant qu’entreprise, est certifiée avec le ISO 27001. Nous passons périodiquement des outils d’audit de code et maintenons localement certaines versions modifiées des bibliothèques communes.

En 2021, compte tenu de la demande de sécurité, nous avons décidé d’aller plus loin, et de nous faire CNA de CVE pour donner une réponse beaucoup plus directe aux vulnérabilités logicielles signalées par les auditeurs indépendants.

Décalogue de PFMS pour une meilleure sécurité de l’information

Lorsqu’un client nous demande si Pandora FMS est sécurisé, nous lui rappelons parfois toutes ces informations, mais cela ne suffit pas. C’est pourquoi nous souhaitons aujourd’hui aller plus loin et préparer un décalogue de questions révélatrices sur le sujet, oui, car certains développeurs de logiciels prennent la sécurité un peu plus au sérieux que d’autres. Détendez-vous, ces questions et leurs réponses correspondantes sont valables pour Microsoft et pour n’importe quel Système d’exploitation. Puisque la sécurité ne fait pas de distinction entre les grands, les petits, les timides ou les experts en marketing.

Existe-t-il un espace spécifique pour la sécurité dans le cycle de vie de votre logiciel ?

Chez Pandora FMS, nous avons une philosophie AGILE avec des sprints (releases) toutes les quatre semaines, et nous avons une catégorie spécifique pour les tickets de sécurité. Ceux-ci ont une priorité différente, un cycle de validation (QA) différent et bien sûr, une gestion totalement différente, puisqu’elles font intervenir des acteurs externes dans certains cas (à travers CVE).

Votre CICD et votre système de versioning de code sont-ils situés dans un environnement sécurisé et avez-vous des mesures de sécurité spécifiques pour le garantir ?

Nous utilisons Gitlab en interne, sur un serveur dans nos bureaux physiques à Madrid. Les personnes portant un nom et un prénom, ainsi qu’un nom d’utilisateur et un mot de passe uniques y ont accès. Quel que soit le pays dans lequel ils se trouvent, leur accès via VPN est contrôlé individuellement et ce serveur n’est accessible d’aucune autre manière. Notre bureau est protégé par un système d’accès biométrique et la salle des serveurs avec une clé que seules deux personnes possèdent.

Le développeur a-t-il un SMSI ? (Système de management de sécurité de l’information )

Artica PFMS ; la société derrière Pandora FMS a été certifiée ISO 27001 presque depuis ses origines. Notre première certification date de 2009. ISO 27001 certifie qu’il existe un SMSI en tant que tel dans l’organisation.

Le développeur a-t-il un plan d’urgence ?

Nous n’en avons pas qu’un, nous avons dû l’utiliser plusieurs fois. Avec la COVID, nous sommes passés de 40 personnes travaillant dans un bureau à Gran Via (Madrid) à chacune travaillant chez elle. Nous avons eu des pannes de courant (pendant des semaines), des incendies de serveurs et de nombreux autres incidents qui nous ont mis à l’épreuve.

La société de développement dispose-t-elle d’un plan de communication sur les incidents de sécurité incluant ses clients ?

Cela ne s’est pas produit plusieurs fois, mais nous avons dû supprimer un correctif de sécurité urgent et nous avons informé nos clients en temps opportun.

Existe-t-il une traçabilité atomique et nominale sur les changements de code ?

L’avantage des référentiels de code, comme GIT, c’est que ce genre de problèmes est résolu depuis longtemps. Il est impossible de développer un logiciel de manière professionnelle aujourd’hui si des outils comme GIT ne sont pas totalement intégrés à l’organisation, et pas seulement à l’équipe de développement, mais aussi à l’équipe QA, support, ingénierie…

Disposez-vous d’un système de distribution de mises à jour fiable avec des signatures numériques ?

Notre système de mise à jour (Update Manager) distribue des packages avec signature numérique. Il s’agit d’un système privé, dûment sécurisé et doté de sa propre technologie.

Avez-vous une politique publique ouverte de divulgation des vulnérabilités ?

Elle est publié dans notre site web.

Avez-vous une politique Open Source qui permet au client d’observer et d’auditer le code de l’application si nécessaire ?

Notre code est ouvert, tout le monde peut le consulter sur https://github.com/pandorafms/pandorafms. De plus, certains de nos clients nous demandent d’auditer le code source de la version entreprise et nous sommes ravis de pouvoir le faire.

Les composants / achats tiers répondent-ils aux mêmes normes que le reste des parties de l’application ?

Oui, ils le font et lorsqu’ils ne se conforment pas, nous les maintenons.

PISTE BONUS :

L’entreprise possède-t-elle une certification Qualité ISO ?

ISO 27001 

L’entreprise possède-t-elle une certification de sécurité spécifique ?

Régime de sécurité nationale, niveau de base.

Conclusion

Pandora FMS est prêt et armé pour TOUT ! Je plaisante, comme nous l’avons dit, tout le monde dans ce secteur est vulnérable, et bien sûr les questions de ce décalogue sont élaborées avec une certaine ruse, après tout nous avions préparé à l’avance des réponses solides et véridiques pour eux, cependant, la vraie question est Tous les éditeurs de logiciels ont-ils une réponse ?


Si vous avez à superviser plus de 100 appareils, vous pouvez également profiter d’un ESSAI GRATUIT de 30 jours de Pandora FMS Enterprise. Installation Cloud ou On-Premise, vous choisissez!!

Sachez également que si vous avez un petit nombre de périphériques à superviser, vous pouvez utiliser la version OpenSource de Pandora FMS. Trouvez plus d’informations ici.

N’hésitez pas à nous envoyer vos questions. La grande équipe derrière Pandora FMS se fera un plaisir de vous aider !

Shares