search button mobile

Développement sécurisé de nos logiciels

Familiarisez-vous avec notre processus de développement des logiciels et sur la manière dont nous mettons l’accent sur la sécurité à chaque étape, de la conception initiale à l’utilisation quotidienne. Notre approche de la conception, du développement et de l’opération de nos produits s’articule autour de la sécurité.

Les bases du développement sécurisé

Nous avons conçu notre approche du développement pour que la sécurité reste toujours au premier plan.

Sécurité dès la conception

Nous plaçons la sécurité de nos clients au cœur des fonctionnalités de nos produits. Nous intégrons cet aspect dès le début du développement au lieu de l’ajouter plus tard.

Code clair et sécurisé

Les pratiques de code sécurisé de Sage suivent les normes et les consignes de l’Open Web Application Security Project (OWASP). Nous nous engageons à écrire un code propre et sécurisé.

Tests en continu

Chez Sage, nous ne nous arrêtons jamais de tester nos produits. Ainsi, nous vous garantissons qu’ils satisfont les normes les plus strictes en matière de sécurité et de performances.

Renforcement des compétences

Nous autonomisons nos ingénieurs en leur proposant une formation continue en sécurité. Quant à nos champions de la sécurité, qui s’inscrivent dans le modèle BSIMM, ils signalent activement et résolvent les vulnérabilités.

Cycle de vie du développement sécurisé de nos logiciels

Nos équipes d’ingénieurs produit respectent la norme Secure Software Development Lifecycle (SDLC) de Sage, y compris les normes et les règles de code sécurisé.

Avant publication

Contrôles de sécurité

La norme de contrôle de sécurité des produits Sage définit les contrôles que nos produits doivent satisfaire. Elle repose sur des règles reconnues du secteur (OWASP ASVS et NIST entre autres) et a été adaptée pour offrir un cadre complet en vue de réduire les risques de cybersécurité qui ont un impact sur nos produits et clients. Elle inclut des contrôles de sécurité tout au long du cycle de vie du développement et lors de l’utilisation de nos produits.

Avant publication

Les champions de la sécurité Sage

Notre équipe de sécurité mondiale fournit des conseils et une assistance d’experts aux ingénieurs produits de Sage. Elle s’appuie également sur nos champions de la sécurité qui sont une référence dans notre domaine. Ce programme regroupe un ensemble de bonnes pratiques reconnues dans l’industrie des logiciels et offre un cadre où des développeurs et des ingénieurs informatiques identifiés collaborent et viennent prolonger l’action de l’équipe de sécurité. Nos collègues participent à la modélisation et au tri des menaces, ainsi qu’à la résolution des vulnérabilités, et aident à apporter une solution aux incidents. Tous les champions de la sécurité Sage suivent une formation de sécurité spécifique, participent à des compétitions et des évènements, et apportent une contribution précieuse à notre mission en faveur de la sécurité.

Avant publication

Modélisation de la menace

La modélisation de la menace est un aspect de notre engagement en faveur d’une conception sécurisée. Cette approche nous permet de comprendre comment nos produits et systèmes peuvent être détournés ou attaqués, et d’intégrer dès le début la sécurité à nos produits. Nous utilisons différentes techniques pour nos systèmes, dont STRIDE. Nous formons et impliquons de nombreuses personnes dans la modélisation de la menace, notamment des experts de la sécurité des applications et du Cloud, des développeurs et des architectes de logiciels.

Avant publication

Formation de sécurité

Nous apportons à notre équipe les compétences nécessaires et nous encourageons la création d’une culture de la responsabilité partagée. Cela est essentiel pour déjouer les menaces avant qu’elles n’apparaissent et garantir le développement de produits sécurisés. Nous investissons sans compter dans la formation de nos développeurs et ingénieurs de logiciels, ainsi que de nos équipes de sécurité. Par ailleurs, nous collaborons avec des leaders du secteur comme Pluralsight, LinkedIn Learning et Immersive Labs pour fournir des formations complètes, aussi bien théoriques que pratiques, sous forme de laboratoires.

Avant publication

Normes de code sécurisé

Nous aidons nos développeurs à écrire des codes de qualité et sûrs. Nous élaborons pour cela des normes de code sécurisé qui définissent nos attentes afin d’éviter les failles les plus répandues. Nous nous conformons aux règles OWASP et Cloud Security Alliance, pour ne citer qu’elles, et nous les adaptons pour qu’elles reflètent le contexte et les produits de Sage.

Avant publication

Scan de sécurité et analyse du code

Nous mettons en place des outils de scan du code et de tests de la sécurité au travers de tout notre cycle de vie du développement logiciel. L’objectif consiste à identifier le plus tôt possible les vulnérabilités et les erreurs de programmation et à les résoudre avant d’entrer dans la phase de production. Notre partenariat avec Microsoft est essentiel à notre approche de la sécurité et beaucoup de nos produits utilisent les fonctionnalités de sécurité de GitHub. Les tests statiques et dynamiques de sécurité des applications, les scans secrets et des dépendances sont quelques exemples d’outils intégrés à notre développement de logiciels et pipelines de délivrables. Ainsi, nous disposons de la visibilité nécessaire pour nous occuper sans attendre des risques de sécurité.

Avant publication

Tests de pénétration

Sage a investi dans la création de notre propre équipe de sécurité offensive qui est responsable de mener des simulations d’attaques (aussi bien des tests de pénétration que des exercices de « red teaming ») visant nos produits afin d’identifier les faiblesses pouvant être exploitées par des personnes mal intentionnées. Ainsi, nous sommes en mesure de résoudre ces problèmes rapidement et sans pression. Nous faisons également équipe avec des entreprises externes pour réaliser des tests de pénétration. Elles nous apportent un point de vue indépendant et nous poussent à toujours faire mieux.

Avant publication

Validation de la publication

Pour les nouveaux produits et les changements apportés à des produits existants qui pourraient avoir une incidence sur la sécurité, nous procédons à un examen structuré de la publication afin de garantir que nous satisfaisons nos attentes dans ce domaine. Nous mettons toujours l’accent sur la confiance et la sécurité, et nous ne publierons jamais de logiciels qui ne respectent pas nos normes strictes de sécurité.

Publier

Après publication

Surveillance de la sécurité et riposte aux incidents

Nous n’oublions pas la sécurité après avoir développé et fourni un produit. Nous assurons une surveillance active et sommes à l’affût de tout comportement suspicieux, puis nous en cherchons les causes et ripostons sans attendre. Notre équipe opérationnelle dédiée à la cyberdéfense surveille nos systèmes 24/7 et nos collègues internationaux de la riposte aux incidents sont en mesure d’apporter une réponse coordonnée dans les plus brefs délais pour tous les aspects de l’activité.

Après publication

Programme de chasseurs de bug

Sage dispose d’un programme privé de chasseurs de bug avec HackerOne. Des chercheurs en sécurité certifiés et des hackers éthiques simulent des attaques réelles pour tester les produits de Sage et démasquer les failles. Nous les récompensons pour chaque cas avéré et nous collaborons en toute transparence pour trouver rapidement une solution.

Après publication

Amélioration continue

Les informations fournies par nos outils de sécurité, nos expériences tirées d’incidents, nos tests de pénétration et les exercices de « red teaming » participent à améliorer la protection de nos produits. Nous examinons régulièrement ces données pour adapter la formation, nos normes, mais aussi nos actions de sensibilisation à la cybersécurité comme la « Cyber Security Week » et notre évènement annuel destiné aux champions de la sécurité.

Des ressources pour aller plus loin

Notre engagement en faveur de la cybersécurité est inconditionnel. Plongez-vous dans ce thème en consultant nos pages dédiées aux activités de surveillance et à la conformité.

Surveillance et opérations

Découvrez l'étendue de notre stratégie opérationnelle et de surveillance 24/7 qui vise à garantir le meilleur niveau de sécurité et de fiabilité de vos données et systèmes.

Normes et conformité

Découvrez notre engagement envers les normes et la conformité, et apprenez comment Sage veille à aller au-delà des bonnes pratiques internationales.

Commentaires