À l'aube de 2023, la signature des codes sera plus importante que jamais, ce qui n'est pas peu dire.
Dans l'environnement actuel de confiance zéro, la signature de code représente une étape critique dans la protection de l'intégrité de software et de l'infrastructure. Lorsqu'elle est bien faite, la signature de code garantit que seules les personnes et les outils adéquats ont accès à la signature du code, et que cette signature permet aux utilisateurs et aux appareils de déterminer à quelle software ils peuvent faire confiance - et à quelle ils ne peuvent pas faire confiance.
Bien sûr, comme pour tout ce qui touche à la sécurité, il est plus facile de dire que de faire adopter les bonnes pratiques en matière de signature de code afin d'atteindre l'état final souhaité. Mais il s'agira d'une priorité essentielle pour 2023 afin de se protéger contre les violations et les attaques de la chaîne d'approvisionnement.
Alors, à quoi ressemble exactement le paysage actuel de la signature de code et à quoi peut-on s'attendre dans l'année à venir ? Pour répondre à ces questions, nous nous sommes entretenus avec Eric Mizell, vice-président de l'ingénierie de terrain à l'adresse Keyfactor. Voici ce qu'il avait à dire.
Keyfactor: Selon vous, quelles sont les principales raisons pour lesquelles la signature de code n'a pas encore été largement adoptée ?
Eric Mizell : Je pense qu'il y a plusieurs raisons pour lesquelles la signature de code n'a pas encore été largement adoptée, et la plupart d'entre elles sont liées à différents niveaux de sensibilisation. Ces raisons, en commençant par le niveau de sensibilisation le plus bas, sont les suivantes :
- Les équipes ne savent pas comment signer le code ou quelle est la place de la signature du code dans leur organisation.
- La signature du code figure sur la liste des choses à faire, mais elle est moins importante que d'autres priorités.
- La signature de code existe, mais elle est limitée à un groupe spécifique et potentiellement inconnue de l'ensemble de l'organisation.
Enfin, l'un des principaux obstacles à la signature de code, quel que soit le niveau de sensibilisation, est l'existence de normes limitées et le manque de soutien et de bonnes pratiques en matière de signature de code.
Keyfactor: Malgré une adoption tardive, pourquoi la signature de code devient-elle plus importante ?
Eric : Tout d'abord, la signature de code joue un rôle important dans la mise en œuvre des stratégies de sécurité zéro confiance, qui deviennent rapidement la norme dans les organisations. Chaque entreprise est une entreprise software et le nombre d'applications qu'elle crée et déploie ne cesse d'augmenter. Comment pouvez-vous faire confiance à ce que vous construisez et déployez (confiance zéro) si vous ne signez pas ?
En outre, nous assistons également à une augmentation des menaces internes. Plus précisément, comme de plus en plus d'ingénieurs travaillent à domicile, nombre d'entre eux acceptent davantage d'emplois et externalisent le code auprès de personnes non dignes de confiance. Cela entraîne une augmentation des menaces d'initiés et obligera les organisations à introduire davantage de contrôles et d'équilibres (l'un d'entre eux devant être la signature de code) en réponse à ces menaces.
Keyfactor: La prise de conscience de l'importance de la signature des codes étant de plus en plus grande, peut-on s'attendre à ce que davantage de normes soient introduites ?
Eric : Absolument, et GitHub a déjà commencé à établir la norme. Récemment, GitHub a lancé des exigences d'authentification pour vérifier la personne qui introduit le code. En fait, les entreprises peuvent désormais activer une capacité au sein de GitHub qui exige une autorisation de certificat pour les développeurs afin de s'assurer que le code provient du développeur désigné. Il s'agit de la première étape de la chaîne d'approvisionnement software pour garantir que le code provient d'un développeur de confiance.
Keyfactor: Quand pensez-vous que nous atteindrons le point de basculement où la signature de code deviendra la norme ?
Eric : Heureusement, très bientôt. La signature de code sera bientôt obligatoire pour les banques, et c'est le premier signe que le point de basculement est proche, car historiquement, lorsque les institutions à haut risque (comme les banques) adoptent une nouvelle mesure de sécurité, d'autres industries suivent de près.
Cela dit, nous n'en sommes qu'au début, puisque de nouvelles réglementations exigeant des chaînes d'approvisionnement sécurisées software viennent d'être introduites aux États-Unis. Le mandat actuel s'applique aux fournisseurs qui vendent au gouvernement américain, mais il s'étendra rapidement et je m'attends à ce que le paysage soit très différent à la fin de l'année.
Keyfactor: Existe-t-il des normes internationales dont nous pourrions nous inspirer ?
Eric : Jusqu'à présent, les exigences américaines sont très similaires à celles du reste du monde, mais de nombreuses entreprises de l'Union européenne sont en avance sur leurs homologues américaines. Au fur et à mesure que nous en apprenons davantage, il se peut que nous trouvions des réglementations plus strictes en provenance de l'UE.
Keyfactor: Selon vous, qu'est-ce qui motive ces nouvelles exigences pour les banques ?
Eric : Tout simplement, nous ne pouvons plus nous contenter de l'approche "faire confiance et vérifier". Nous vivons désormais dans un monde de confiance zéro, ce qui signifie que nous devons nous assurer que tous les software, scripts et binaires que nous construisons et déployons sont signés de manière sécurisée.
Keyfactor: Le fait que de nombreux services bancaires soient désormais internationaux complique-t-il leur capacité à fournir ce niveau de sécurité ?
Eric : Ce problème est beaucoup plus vaste. Je pense que toutes les entreprises sont confrontées à ce problème depuis que les développeurs ne travaillent plus nécessairement dans le même bureau sur un réseau sécurisé. Lorsque les développeurs peuvent se trouver n'importe où dans le monde, comment vérifier leur identité et confirmer qu'ils sont bien ceux qui vérifient le code ? La sécurisation de la chaîne d'approvisionnement software , de l'enregistrement du code à la signature des builds, est la bonne voie à suivre.
Vous êtes prêt à utiliser la signature de code sécurisée dans votre entreprise ?
2023 sera sans aucun doute l'année où la signature de code deviendra une priorité absolue pour les organisations de toutes sortes. Prenez de l'avance et commencez à protéger votre organisation dès maintenant grâce à Keyfactor SignumLa signature du code, des conteneurs, de software et des microprogrammes se fait sans effort pour les équipes chargées des applications et des opérations, et est facile à gérer pour les équipes chargées de la sécurité.
