- à la chaîne d'approvisionnement des éditeurs de logiciels Évaluer et réduire les risques liés - Acronis
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
ጷ Évaluer et réduire les risques liés à la chaîne d'approvisionnement des éditeurs de logiciels 2021
ጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Sommaire
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
L'ampleur sans précédent de l'attaque SolarWinds . . . . . . . . . . . . . . . . . . . . . . . 4
Anatomie de l'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
La menace existentielle des attaques de la chaîne d'approvisionnement pour
les fournisseurs de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Sécurité de l'accès aux applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Développement de logiciels sécurisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Synthèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Certifications et tests des solutions de cyberprotection Acronis . . . . . . . . . . . . . . . . 17
Ressources supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
À propos d'Acronis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 | acronis.com
ጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Introduction
La faille SolarWinds a mis La faille était remarquable par Les fournisseurs de services Dans un secteur d'activité Les fournisseurs MSP qui
en évidence les risques sa subtilité et sa sophistication : managés (MSP), en particulier, qui, par nature, dépend d'une cherchent à réduire les
d'attaque de la chaîne il s'agissait en réalité d'une doivent se prémunir contre ces chaîne d'approvisionnement risques liés à leur chaîne
d'approvisionnement aux menace persistante avancée risques. Une attaque réussie et de distribution complexe, d'approvisionnement en logiciels
conséquences potentiellement (APT) commanditée par un qui s'étendrait à leurs clients le niveau de cybersécurité doivent d'abord se concentrer
catastrophiques pour les État dans le but de surveiller pourrait en effet représenter d'un fournisseur MSP peut sur les vulnérabilités critiques
entreprises, les organismes les nombreux clients d'un une menace existentielle être considérablement affaibli associées à leurs fournisseurs
publics et les fournisseurs éditeur de logiciels au sein pour eux. Peu d'entreprises par les vulnérabilités de ses de technologies et de services,
de services. des secteurs public et privé. voudront traiter avec un fournisseurs, partenaires et notamment :
fournisseur MSP qui, au lieu clients. Une chaîne n'est aussi
1. La sécurité des contrôles
de protéger ses clients, a servi solide que son maillon le
d'accès
de porte d'entrée pour le vol, plus faible.
2. La qualité de leurs
la falsification ou la destruction
pratiques de développement
de données.
et de distribution de
logiciels sécurisés
3 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
L'ampleur sans précédent
de l'attaque SolarWinds
Détectée début décembre 2020, la compromission de la chaîne d'approvisionnement ou la boutique d'applications d'un fournisseur, ou un référentiel public de partage de
SolarWinds est l'une des cyberattaques les plus sophistiquées et les plus fructueuses code tel que GitHub. Une faille potentielle est activée dès qu'un utilisateur installe la mise
de l'histoire récente contre des entreprises et des organismes publics occidentaux. à jour logicielle, la mise à jour du firmware ou le matériel compromis. Dans le cas de la
Un groupe organisé, hautement qualifié et disposant de moyens financiers importants, faille SolarWinds, des cybercriminels ont infiltré le référentiel privé du fournisseur de
prétendument affilié aux services de renseignement extérieur russes, a réussi à infiltrer technologies d'Orion, un outil de gestion de réseau et de surveillance des performances
des milliers de grandes entreprises internationales et plusieurs agences fédérales plébiscité par les entreprises, les institutions publiques et les fournisseurs de services.
américaines, notamment les ministères de la Sécurité intérieure, de l'Intérieur, du Trésor Ces outils sont une cible de choix pour les cybercriminels, car ils peuvent facilement
et du Commerce. 80 % des victimes seraient basées aux États-Unis, mais l'attaque a leur donner accès à une entreprise entière, à ses partenaires et à ses clients.
également compromis des cibles au Canada, au Mexique, au Royaume-Uni, en Espagne,
en Belgique, en Israël et aux Émirats arabes unis. L'attaque est également considérée comme une menace persistante avancée (APT).
Les menaces APT suivent un mode opératoire sophistiqué en plusieurs étapes
La faille SolarWinds est le dernier exemple en date d'une attaque dite de la chaîne généralement attribué à des États, qui disposent des moyens financiers, de la patience
d'approvisionnement en logiciels, au cours de laquelle un cybercriminel compromet et des compétences nécessaires pour les déployer. De par leur nature, les menaces APT
une source fiable de logiciels, de firmwares ou de matériel en y injectant des outils de sont conçues pour échapper à la détection à long terme. Il est donc difficile de s'en
surveillance et d'autres codes malveillants. La cible initiale peut être le référentiel privé prémunir et de les éliminer complètement lorsqu'elles ont été découvertes.
4 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Anatomie de l'attaque
L'attaque a suivi la tactique classique en plusieurs étapes des menaces APT : À partir de l'automne 2019, les cybercriminels ont commencé à installer une porte
compromission initiale, communication avec un serveur de commande et de contrôle dérobée malveillante dans du code Orion légitime. Ils ont mis en œuvre un processus
externe pour télécharger d'autres malwares, surveillance de l'environnement très sophistiqué afin de s'assurer que toute version logicielle d'Orion compromise
technologique pour identifier les vulnérabilités, élévation de privilèges, déplacement soit fonctionnelle et n'avertisse donc pas les développeurs d'une intrusion. Le logiciel
latéral à l'intérieur et à l'extérieur du réseau pour infiltrer d'autres cibles accessibles, compromis contenait désormais une porte dérobée capable de communiquer via HTTP
puis exécution de l'attaque finale (dans ce cas, vol de données de valeur). Des méthodes avec des serveurs tiers externes. Il pouvait ainsi récupérer et exécuter des commandes
ingénieuses et hors du commun ont été employées à chaque étape de l'attaque afin pour transférer des fichiers vers des services externes, exécuter des processus
d'échapper aux garde-fous du développement de logiciels sécurisés et aux contre- malveillants et légitimes, établir le profil du système, redémarrer des machines et
mesures de cybersécurité. désactiver des services système tels que les contre-mesures d'investigation numérique
et antivirus. Son trafic réseau prenait l'apparence d'un protocole Orion normal et ses
données de reconnaissance étaient stockées dans des fichiers de configuration de
plug-ins ordinaires. Il était ainsi en mesure de se fondre dans les activités quotidiennes
de SolarWinds.
Une fois la mise à jour compromise installée par un client d'Orion, une DLL malveillante
était chargée par un processus d'installation de SolarWinds, qui la considérait comme
légitime, car elle était signée au moyen du certificat numérique approprié. Après une
période d'inactivité pouvant aller jusqu'à deux semaines, ce malware a commencé à se
connecter à des serveurs de commande et de contrôle externes, renommés afin de
ressembler à des serveurs légitimes dans l'environnement de la victime et employant
des serveurs privés virtuels pour présenter des adresses IP du pays de la victime.
5 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Le trafic vers les serveurs de contrôle malveillants imitait les
communications normales de l'API SolarWinds afin d'échapper
à la détection. Après avoir obtenu l'accès initial, les cybercriminels
ont continué à dissimuler leurs opérations tout en se déplaçant
latéralement au sein de l'organisation. Ils utilisaient fréquemment des
identifiants légitimes pour accéder à distance à l'environnement de
la victime. Ils remplaçaient systématiquement les utilitaires légitimes
et les tâches planifiées par leurs propres équivalents malveillants,
les exécutaient, puis restauraient les originaux, en supprimant leurs
outils et leurs portes dérobées une fois l'accès à distance établi. Le vol de données sensibles d'entreprises et d'organismes publics qui en a
résulté, y compris la connaissance de l'infrastructure et des activités informatiques,
Cette approche a permis l'utilisation d'un injecteur uniquement en mémoire semble être le principal objectif de l'attaque. Si le succès de cette opération est un
s'exécutant en tant que service afin de lire un faux fichier .jpg, de décoder sa charge coup dur pour les entreprises et les organismes publics concernés, ses conséquences
active malveillante incorporée et de la charger manuellement directement en mémoire, auraient pu être bien plus désastreuses. Par exemple, outre le vol de données,
échappant ainsi aux analyses antivirus. Cette charge active a causé bien des dégâts les cybercriminels auraient également pu lancer une attaque par ransomware chiffrant
en identifiant les fichiers utiles dans toute l'organisation et en les transférant les données de la cible. Les victimes auraient alors dû se démener pour récupérer
silencieusement vers les serveurs externes des cybercriminels. des données désormais inaccessibles et reprendre le cours normal de leurs activités.
6 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
La menace existentielle des attaques
de la chaîne d'approvisionnement
pour les fournisseurs de services
Pour tout fournisseur de services, une attaque de la chaîne d'approvisionnement
en logiciels à la SolarWinds doit être considérée comme une menace existentielle
pour l'entreprise : violation des accords de niveau de service (SLA), violation des
contrats et atteinte grave à la réputation de l'entreprise, à la confiance de sa clientèle
et à sa valorisation. Si l'on ne peut pas attendre d'un fournisseur MSP qu'il contrôle
ses propres fournisseurs afin d'éviter une telle attaque, pourquoi une entreprise
devrait-elle lui confier ses applications et données métier sensibles ?
Aucune entreprise, quelles que soient la sophistication et la profondeur de sa stratégie
de sécurité, ne devrait tomber dans l'excès de confiance. Les cybercriminels
motivés par l'appât du gain sont moins redoutables. Ils se tourneront vers une nouvelle
victime si leur cible actuelle ne leur donne pas rapidement satisfaction. En revanche,
les cybercriminels à la solde d'États disposent de ressources illimitées, de plus de temps
et de compétences en matière de piratage pour mener leurs attaques. Peu d'entreprises
privées pourraient repousser une attaque de l'ampleur, de la sophistication et de la
persistance de l'attaque SolarWinds de type APT, d'autant que les fournisseurs MSP
comptent en général jusqu'à 25 fournisseurs de technologies, 25 clients et
2 000 terminaux comme surfaces d'attaque potentielles.
7 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Il existe toutefois des mesures que les fournisseurs MSP peuvent et doivent nécessitent souvent un personnel dédié qui a l'habitude de travailler avec de
prendre afin de réduire les risques d'attaque de la chaîne d'approvisionnement en tels cadres. La plupart sont orientés vers les grandes entreprises plutôt que vers
logiciels, ainsi que des mesures visant à limiter l'étendue des dégâts en cas d'attaque. l'environnement multitenant et multiclient dans lequel opèrent les fournisseurs MSP.
Nombre de grandes entreprises et de fournisseurs de services s'appuient sur les Quoi qu'il en soit, ces cadres peuvent constituer un bon point de départ pour
cadres sectoriels d'organismes de normalisation internationaux tels que l'ISO/la CEI comprendre les processus et méthodologies d'évaluation de la sécurité. Consultez
et le NIST afin d'effectuer des évaluations de la sécurité de leurs fournisseurs, de leurs la section RESSOURCES SUPPLÉMENTAIRES ci-dessous pour savoir où trouver de la
clients et de leur propre organisation. Cependant, pour être efficaces, ces solutions documentation sur ces cadres.
Pour commencer à évaluer la sécurité en vue de réduire les risques d'attaque
de la chaîne d'approvisionnement en logiciels, vous pouvez vous poser les
quelques questions ci-dessous pour les principaux domaines de risque :
ACCÈS AUX APPLICATIONS DÉVELOPPEMENT DE LOGICIELS SÉCURISÉS
À qui et comment l'accès aux données sensibles Quelles mesures sont prises tout au long du processus
est‑il accordé ? Comment l'accès est-il documenté et de développement de logiciels, de la conception à la mise
quelles mesures sont prises pour garantir la gestion et à disposition des clients, pour réduire les risques de falsification
l'évaluation de la sécurité de l'infrastructure sur laquelle (injection de code malveillant) et autres menaces émanant
les données sont hébergées ? de cybercriminels externes ou d'utilisateurs internes ?
8 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
CONTINUITÉ
DES ACTIVITÉS
CONFORMITÉ
L'évaluation de la sécurité des fournisseurs visant à réduire les
risques liés à la chaîne d'approvisionnement en logiciels exige
SÉCURITÉ
DES DONNÉES plus que la simple collecte de documents. Il s'agit de remettre
GESTION DE LA
CONFIGURATION
en question leurs affirmations et d'exiger des preuves de leurs
GESTION DES
INCIDENTS
principales revendications : pistes d'audit, preuves de formation
CHAÎNE
D'APPROVISION-
et de certification, certificats de conformité des centres de
NEMENT
données, audits des installations sur site, etc.
MSP
GOUVERNANCE,
GESTION PERSONNEL
DES RISQUES
ET CONFORMITÉ
MOBILE
CHIFFREMENT
GESTION DES
VULNÉRABILITÉS
GESTION DES SÉCURITÉ PHYSIQUE /
IDENTITÉS ET DU CENTRE
DE DONNÉES
DES ACCÈS
SÉCURITÉ DES
APPLICATIONS
PHYSIQUE /
CENTRE DE
DONNÉES
9 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Sécurité de l'accès Le contrôle de l'accès aux applications et aux données
sensibles est un élément essentiel de la sécurité de la chaîne
aux applications d'approvisionnement en logiciels. Voici quelques questions clés
à poser aux fournisseurs, y compris aux fournisseurs de services
multitenants, à cet égard :
Limitez-vous, enregistrez-vous et surveillez-vous l'accès à vos systèmes de
gestion de la sécurité (p. ex. pare-feux, analyseurs de vulnérabilités, renifleurs
de réseau, API) ?
Surveillez-vous et consignez-vous les accès à privilèges (p. ex. de niveau
administrateur) aux systèmes de gestion de la sécurité ? Avez-vous implémenté
une solution de gestion des utilisateurs à privilèges afin de garantir un accès
limité dans le temps et le moins privilégié possible aux systèmes critiques ?
10 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Appliquez-vous des règles, des procédures et des mesures techniques Quels contrôles appliquez-vous pour empêcher tout accès non autorisé
pour garantir une gestion appropriée de l'accès aux données/ressources, à vos applications et au code source des objets ? Quels contrôles analogues
conformément aux exigences de conformité légales, statutaires avez‑vous mis en place pour les applications des tenants ?
ou réglementaires ?
Quelles sont vos procédures et mesures techniques pour la segmentation Exigez-vous une autorisation et une validation périodiques des droits
de l'accès aux données dans les environnements multitenants ? de tous les utilisateurs et administrateurs du système ?
Quels systèmes d'authentification, d'autorisation et de responsabilité (AAA) Prenez-vous en charge l'utilisation de solutions existantes d'authentification
utilisez-vous ? Quels systèmes nécessitent ou non une authentification unique (SSO) basées sur les clients ou leur intégration à votre service ?
multifacteur ? Gérez-vous et conservez-vous l'identité de tous les membres Prenez-vous en charge des normes de fédération d'identité (p. ex. SAML, SPML,
du personnel qui ont accès à l'infrastructure informatique, y compris leur niveau WS-Federation) comme moyen d'authentification/autorisation des utilisateurs ?
d'accès ?
11 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Disposez-vous d'un système de gestion des identités (permettant la Prenez-vous en charge le changement forcé de mot de passe lors de la
classification des données par tenant) afin de permettre l'accès aux données première connexion ?
en fonction du rôle et du contexte ?
Fournissez-vous aux tenants des options d'authentification forte Avez-vous mis en place des mécanismes de déverrouillage des comptes
(multifacteur) (p. ex. certificats numériques, jetons, biométrie) pour ayant été verrouillés (p. ex. libre-service par e-mail, questions de sécurité
l'accès utilisateur ? définies, déverrouillage manuel) ?
Prenez-vous en charge l'application de règles de verrouillage des mots de
L'accès aux programmes utilitaires employés pour gérer les
passe (p. ex. longueur minimale, âge, historique, complexité) et des comptes
partitions virtualisées (p. ex. arrêt, clonage) est-il limité et surveillé
(p. ex. seuil de verrouillage, durée de verrouillage) ? Autorisez-vous les tenants/
de manière appropriée ?
clients à définir des règles de verrouillage des mots de passe et des comptes
pour leurs comptes ?
12 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS Développement de logiciels sécurisés L'attaque SolarWinds a démontré qu'une fois qu'un cybercriminel a compromis un référentiel de code sécurisé, de nombreux mécanismes de sécurité traditionnels que vous pourriez avoir mis en place peuvent être déjoués. Ces contre-mesures supposent en effet qu'un système d'exploitation, une application, un pilote ou un élément réseau précis est légitime et qu'il n'agira donc pas de manière malveillante, à moins d'être compromis par des attaques externes, plus facilement détectables. Vous devez donc passer au crible vos principaux éditeurs de logiciels pour vous assurer qu'ils ont mis en place un programme de développement de logiciels sécurisés ainsi que des mécanismes de défense du produit et des données clients contre les modifications et autres attaques. 13 | acronis.com
ጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Sensibilisez-vous vos architectes et ingénieurs en logiciels, ainsi que le personnel chargé des opérations
QUESTIONS CLÉS À POSER À
informatiques et de la cybersécurité, à la sécurité et aux normes pertinentes en matière d'architecture de code
VOTRE ÉDITEUR DE LOGICIELS :
sécurisé, de développement et de protection contre la falsification ?
Disposez-vous d'un processus multiniveau pour analyser et examiner le code afin de déceler les vulnérabilités
à chaque étape du développement, avec des examens effectués indépendamment par des équipes de
développement internes, des testeurs en environnement sandbox et des auditeurs externes ?
Avez-vous mis en place un processus de développement de code décomposé permettant l'examen des
composants logiciels individuels par des réviseurs aléatoires avant le passage à l'étape suivante du processus
de développement et à l'intégration ultérieure ?
Transmettez-vous de manière sécurisée les modules de code aux phases de développement suivantes ?
Utilisez-vous la signature numérique des binaires sécurisés avant un examen final en environnement sandbox
des fonctions de sécurité et de confidentialité qui précède la distribution aux auditeurs externes, aux partenaires
et aux clients ?
Comment protégez-vous les données chiffrées des clients contre l'accès, la modification ou la copie par vos
propres collaborateurs ?
Employez-vous une équipe de sécurité indépendante, distincte des équipes internes chargées des opérations
informatiques et de la cybersécurité, qui propose des formations internes de sensibilisation à la sécurité, réalise
des audits de l'infrastructure et des processus de sécurité et procède à l'application des règles de sécurité ?
14 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Quelles normes de cybersécurité et de sécurité physique appliquez-vous pour vos centres de données ? Faites-
vous effectuer des audits de routine par des auditeurs tiers indépendants réputés, des tests d'intrusion externes
des mesures de sécurité réseau, une segmentation interne du réseau et une analyse de la détection des intrusions ?
Chiffrez-vous les données des clients en transit et au repos dans votre infrastructure de stockage de données ?
Procédez-vous à un effacement rigoureux et/ou à une destruction stricte des supports de stockage mis hors service ?
Appliquez-vous des règles strictes en matière de confidentialité, d'éthique des affaires et de code de
conduite pour vos collaborateurs ? De telles règles comprennent les vérifications des antécédents (le cas
échéant), les accords de confidentialité et les principes de répartition des tâches, le principe du besoin d'en
connaître et le principe du moindre privilège, afin de vous protéger contre les activités malveillantes ou
dangereuses effectuées par inadvertance par des utilisateurs internes.
Quels processus de contrôle d'accès, d'authentification multifacteur et de journalisation des activités
mettez-vous en œuvre pour garantir que seuls les utilisateurs autorisés peuvent accéder aux systèmes sensibles ?
Disposez-vous d'un programme de prime à la détection de bugs, destiné à encourager et à récompenser
la divulgation de failles de sécurité potentielles dans vos produits ?
Utilisez-vous un stockage sur support matériel pour les clés de chiffrement binaires privées afin de garantir
que les clés des clients ne peuvent pas être exportées ou faire l'objet de fuites ?
15 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Synthèse
La faille SolarWinds a fait office de piqûre de rappel : les adversaires modernes,
qu'il s'agisse de cybercriminels ou d'États hostiles, ne cessent d'innover et de gagner
en sophistication, en ingéniosité et en persistance. Dans l'élaboration de leurs
attaques, ils utilisent les mêmes outils avancés (analyse heuristique, apprentissage
automatique, intelligence artificielle, intégration et automatisation accrues) que ceux
que les fournisseurs de technologies et de services légitimes emploient pour défendre
leur entreprise et leurs clients. Il s'agit d'une bataille dans laquelle les cybercriminels
ont généralement l'avantage de l'initiative : il est plus facile d'attaquer que de détecter,
de contenir, de neutraliser et de récupérer d'une attaque.
Si la mise en œuvre complète d'un cadre de sécurité de l'ISO/de la CEI ou du NIST
dépasse souvent les besoins et les ressources de nombreux fournisseurs MSP, la
philosophie qui le sous-tend peut néanmoins s'avérer utile. Un tel cadre fournit un
Acronis propose des services de conseil
vocabulaire et une méthodologie éprouvés pour gérer les risques de cybersécurité. et d'audit de sécurité pour vous aider
En commençant par ces questions de base, vous pouvez vous engager sur la voie à démarrer.
de l'identification et de la réduction systématiques des risques liés à votre chaîne
d'approvisionnement en logiciels. Une réflexion reposant sur un cadre peut vous aider
Pour plus d'informations, consultez la page acronis.com/services
à identifier les domaines dans lesquels les processus existants peuvent être renforcés et
de nouveaux processus mis en œuvre, ainsi qu'à hiérarchiser vos exigences en matière
de sécurité et à définir des attentes appropriées avec vos fournisseurs et partenaires.
16 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Certifications et tests des
solutions de cyberprotection
Acronis
REMARQUE : ce document n'est fourni qu'à titre informatif. Il ne
constitue pas un avis juridique et ne doit pas être considéré comme
tel. Le document est fourni en l'état, sans assurance ni garantie
d'aucune sorte. Si vous souhaitez obtenir des conseils sur toute
question ou tout problème particulier, contactez un avocat. Aucune
défense n'est imperméable aux cyberattaques et aucune mesure
n'empêchera complètement un cybercriminel déterminé de percer
vos défenses.
17 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Ressources supplémentaires
Nombre d'entreprises s'appuient sur les cadres sectoriels d'organismes de NIST 800-171 – Cadre général populaire pour l'évaluation des règles, des procédures
normalisation internationaux afin d'effectuer des évaluations de la sécurité de leurs et du personnel de sécurité interne :
fournisseurs, de leurs partenaires et de leur propre organisation. Bien qu'ils ne https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf
soient pas tous optimisés pour les environnements MSP multitenants et multiclients,
Vendor Security Alliance – Questionnaire détaillé d'évaluation de la sécurité
ces outils constituent un bon point de départ. Voici quelques-uns des cadres de
des fournisseurs :
sécurité et des méthodologies d'évaluation les plus populaires et les plus répandus :
https://www.vendorsecurityalliance.org/downloadQuestionaire
Méthode d'évaluation des risques (RAM) du Center for Internet Security (CIS) –
Cadre d'évaluation de la sécurité interne de haut niveau :
https://www.cisecurity.org/cybersecurity-tools/
Questionnaire relatif à l'initiative des évaluations par consensus (CAIQ) de la
Cloud Security Alliance (CSA) – Outils pour l'évaluation des contrôles de sécurité
dans les services IaaS, PaaS et SaaS :
https://cloudsecurityalliance.org/artifacts/consensus-assessments-initiative-
questionnaire-v3-1/
ISO/IEC 27001 – Ensemble de normes internationales largement adoptées pour la
gestion de la sécurité interne :
https://www.iso.org/fr/isoiec-27001-information-security.html
18 | acronis.comጷ ÉVALUER ET RÉDUIRE LES RISQUES LIÉS À LA CHAÎNE D'APPROVISIONNEMENT DES ÉDITEURS DE LOGICIELS
Informations À propos d'Acronis
supplémentaires d'Acronis
Blog Acronis : pour suivre l'actualité Acronis unifie la protection des données et la cybersécurité pour fournir une
et obtenir les points de vue éclairés du cyberprotection intégrée et automatisée. Son but ? Relever les défis du monde
leader mondial de la cyberprotection numérique d'aujourd'hui en matière de fiabilité, d'accessibilité, de confidentialité,
d'authenticité et de sécurité (SAPAS). En proposant des modèles de déploiement
Chaîne YouTube Acronis : pour
flexibles qui répondent aux besoins des fournisseurs de services et des professionnels
visionner régulièrement des vidéos
de l'informatique, Acronis offre une cyberprotection de premier plan pour vos données,
portant sur des cas d'utilisation, des
applications et systèmes, via une large gamme de solutions innovantes : antivirus
démos, des analyses de cybermenaces
de nouvelle génération, sauvegarde, reprise d'activité après sinistre et gestion de la
et des nouveautés concernant la société
protection des terminaux. Ses technologies primées de protection contre les malwares
pilotée par l'intelligence artificielle et d'authentification des données par blockchain
Centre de ressources Acronis : plate-
permettent à Acronis de protéger tous les types d'environnements (cloud, hybride,
forme incontournable rassemblant des
sur site) à un coût abordable et prévisible.
livres blancs sur la cyberprotection, des
eBooks, des articles détaillés, des tutoriels, Fondée à Singapour en 2003 et enregistrée en Suisse en 2008, la société Acronis compte
des présentations graphiques, etc. aujourd'hui plus de 1 500 collaborateurs répartis sur 33 sites dans 18 pays. Ses solutions
ont été adoptées par plus de 5,5 millions de particuliers, 500 000 entreprises
Événements Acronis : pour rester
(dont la totalité des sociétés du classement Fortune 1000) et des équipes de sport
au courant des événements en cours,
professionnelles de haut niveau. Les produits Acronis sont distribués par un réseau de
webinaires, interviews, etc., et s'y inscrire
50 000 partenaires et fournisseurs de services, couvrant plus de 150 pays et plus de
40 langues.
19 | acronis.comDécouvrez nos produits sur www.acronis.com Copyright © 2002-2021 Acronis International GmbH. Tous droits réservés. Acronis et le logo Acronis sont des marques commerciales d'Acronis International GmbH aux États-Unis et/ou dans d'autres pays. Toutes les autres marques commerciales, déposées ou non, sont la propriété de leurs détenteurs respectifs. Sous réserve d'erreurs, de modifications techniques et de différences par rapport aux illustrations. 2021-02
Vous pouvez aussi lire
