Les architectures logicielles modernes s'inscrivent de plus en plus dans un écosystème complexe et interdépendant : elles exploitent de nombreuses bibliothèque de code, composants open-source, et depuis quelques années maintenant des API de services en ligne. L'un des enjeux majeurs des organisations est la maîtrise de la sécurité globale de ces architectures, dans le contexte d'évolution incessante de l'ensemble de ces dépendances.‍‍‍

Après un survol des menaces pesant sur la supply chain logicielle, Florent Kirchner, Coordinateur de la stratégie nationale pour la cybersécurité, proposera une réflexion sur le rôle de l'innovation face à ces enjeux. Il discutera de l'importance de l'impulsion politique dans la mise en place d'un numérique maîtrisé, et de la dynamique française en support de l'autonomie stratégique Européenne.

Pour cette table ronde, nous avons convié des experts en sécurité au cœur de la mise en place de ces pratiques, afin qu’ils confrontent leur vision des tendances de la sécurité applicative : DevSecOps, shift-left, Platform engineering security… Est-ce une réalité, ou bien un buzz word, derrière lequel on retrouve tout et son contraire ?

Nous examinerons ce qu’il se passe concrètement dans les organisations, au niveau opérationnel, grâce à des retours d’expérience de diverses entreprises.

Depuis 2021, GitGuardian a mesuré une augmentation de 400% du nombre de secrets exposés publiquement par les développeurs. Seraient-ils irrémédiablement fâchés avec la sécurité ? Il est pourtant possible d’assurer la livraison continue de code sécurisé dans l’entreprise sans pénaliser leur vélocité, notamment en s'inspirant d'autres industries où la sécurité est intégrée dans le flux de production.

Kayssar Daher, Security Lead chez GitGuardian, donnera les clés pour mettre en place ces nouveaux modèles de sécurité en flux continu.

En plus des rafraîchissements et du networking, cette pause sera l’occasion de découvrir des solutions de sécurité de la supply chain logicielle.

Détection de secrets et remédiation

Découvrez comment la plateforme GitGuardian permet la détection et la remédiation des secrets exposés dans diverses sources : code des applications en tout point du cycle de développement, mais aussi outils de messagerie, de ticketing ou documentation. Explorez le modèle de responsabilité partagée, qui permet une collaboration efficace entre équipes de sécurité et de développement pour résoudre ces incidents.

Public Monitoring

Comprenez à quel point GitHub étend la surface d'attaque d'une organisation et la menace que représente la fuite des secrets, en particulier dans les projets open-source et dans les dépôts de code personnels des développeurs. Aidez votre organisation à regarder au-delà de son périmètre interne.

Software Composition Analysis

Venez découvrir SCA, la nouvelle offre de GitGuardian, qui améliore significativement la sécurité du code source des organisations. Apprenez à automatiser la détection de vulnérabilités dans les dépendances de code, quels sont les critères à retenir pour les hiérarchiser et comment favoriser la collaboration entre équipe sécurité et logiciel pour résoudre ces incidents. Exploitez les possibilités légales de l’offre pour s’assurer de la conformité aux réglementations liées au développement, notamment via la création de nomenclatures logicielles complètes (SBOM).

Honeytoken

Tirez profit de “Honeytoken”, l’approche innovante de GitGuardian pour détecter les premiers signes d’une intrusion dans vos environnements de développement grâce aux “honeytokens”, des clés d’API factices qui mettent en place un système de déception complet contre les hackers.

Loïc Bruneau, Product Manager chez GitGuardian, animera cette présentation autour de la sécurité de la supply chain logicielle. Il évoquera notamment les dernières tendances des attaques de dépendances open-source : packages malveillants, confusion des dépendances, hallucination de dépendances par les outils IA...

Il expliquera comment se prémunir contre ces risques et partagera des bonnes pratiques très concrètes à mettre en place pour protéger sa supply chain.

Pierre Lalanne, Engineering Manager chez GitGuardian et Badr Nass Lahsen, Lead Cloud et Security Architect chez CyberArk, présenteront les enjeux liés à la gestion des secrets tout au long de leur cycle de vie. Ils expliqueront notamment ce qu’apporte la détection automatisée de secrets à une solution de management des secrets pour l’entreprise.

Ils montreront par l’exemple que faire en cas de fuite d’un secret hors du domaine de l’entreprise, et comment le révoquer via une solution de gestion de secret. Mais aussi comment agir en cas de fuite dans le périmètre interne de l’entreprise, que ce soit dans le code source ou ailleurs (Slack, Jira, ..)