Checklist de sécurité pour CTO SaaS [PDF de 27 p.]
(sqreen.com)Si vous exploitez un service web, voici une liste, par catégorie, des points de sécurité de base à vérifier, ainsi qu’une sélection de documents de référence et de liens vers des exemples.
- À l’échelle de l’entreprise
-
Sécurité des domaines
-
Collecte de données et RGPD
-
Sécurité des services tiers utilisés en interne (Google Apps, Slack, WordPress, etc.)
-
Définition de politiques de sécurité internes et externes
-
Mise en place d’un programme de bug bounty
-
Élaboration d’un plan de réponse aux incidents de sécurité
-
Respect de la conformité
-
2FA partout où c’est possible
-
Checklist d’onboarding / offboarding
- Infrastructure
-
HTTPS
-
Vérifications de sécurité de base (HSTS, X-Frame-Options, CSP, etc.)
-
Automatisation des mises à jour des images OS/Docker
-
Restriction des accès IP aux services internes
-
Centralisation des logs
-
Supervision des services
-
Surveillance des anomalies basée sur les métriques
-
Documentation de la procédure de réinstallation de l’infrastructure en cas de sinistre
- Code
-
Rédaction et application d’une checklist de revue de code orientée sécurité
-
Adoption du SAST
-
Gestion des secrets (mots de passe, clés, etc.)
-
Réalisation de sessions de test centrées sur la sécurité
-
Formation à la sécurité lors de l’onboarding
- Application
-
Exécution avec un compte non administrateur / non root
-
Suivi continu des bibliothèques tierces
-
Adoption du RASP (Realtime Application Self Protection)
-
Recrutement d’une équipe externe de tests d’intrusion
-
Automatisation de la sécurité
2 commentaires
Lien du fichier : https://assets.sqreen.com/whitepapers/…
Comme il s’agit d’une checklist conçue par Sqreen, une entreprise qui développe des outils de sécurité, elle contient certes un aspect promotionnel,
mais il semble utile de parcourir l’ensemble de la liste pour l’adapter ensuite à son entreprise.