Checklist de sécurité pour CTO SaaS Ver.3

• Explication, point par point, des éléments de sécurité essentiels qu’un CTO doit prendre en charge

→ liens connexes à lire, outils recommandés, conseils, etc.

• Employés

→ mettre en place une formation à la sécurité

→ appliquer la 2FA

→ verrouillage automatique des ordinateurs

→ empêcher le partage de comptes

→ chiffrer les ordinateurs/téléphones personnels - Jamf, Canonical Landscape

→ checklist d’onboarding / offboarding

→ utiliser un gestionnaire de mots de passe - dashlane, lastpass, onelogin

→ rédiger et exploiter une checklist de revue de code sécurité -

→ gestion centralisée des comptes

→ outils anti-malware & antivirus - stormshield

→ recruter un ingénieur sécurité

• Code

→ gérer les bugs de sécurité comme des bugs classiques

→ séparer les secrets du code - envkey, vault, secret-manager

→ ne pas implémenter soi-même la cryptographie, utiliser des bibliothèques

→ mettre en place un outil d’analyse statique de code

→ mener des sessions de tests centrées sur la sécurité

→ automatiser la sécurité dans l’ensemble du cycle de vie de développement logiciel (SDLC)

→ proposer une formation sécurité d’onboarding aux ingénieurs logiciel - safecode, pagerdugy sudo

• Application

→ automatisation de la sécurité pour les produits en production - snyk, checkov

→ sécurité FaaS

→ suivi des dépendances - snyk, dependabot

→ exécuter avec un compte autre que root (unprivileged)

→ service de protection en temps réel (Runtime Application Self Protection, RASP)

→ recruter une équipe externe de tests d’intrusion

• Infrastructure

→ sauvegarder, tester la restauration, puis sauvegarder à nouveau - tarsnap, quay

→ tests de sécurité de base pour les sites web - securityheaders, ssllabs

→ isoler les assets au niveau réseau

→ maintenir l’OS & les images Docker à jour - watchtower , spacewalkproject

→ scanning automatique de sécurité des images de conteneurs - quay, vulerability & image scanning

→ appliquer TLS à tous les sites web & API

→ centraliser tous les logs, les archiver et les rendre exploitables - loggly, kibana

→ surveiller les services exposés - checkup

→ se protéger des attaques DDoS - fastly, cloudflare, cloudfront

→ bloquer par IP l’accès aux services internes

→ détecter les schémas anormaux dans les métriques - newrelec , sysdig

• Entreprise

→ être honnête et transparent sur toutes les données collectées

→ créer une culture familière avec la sécurité - Security Culture Framework

→ ne pas partager le réseau WiFi avec les visiteurs

→ vérifier la sécurité de tous les principaux services tiers - Google Apps/Slack/WordPress, etc.

→ vérifier la protection du nom de domaine - renouvellement automatique et autres fonctions de verrouillage

→ vérifier l’existence d’une politique de sécurité publique

→ utiliser des outils qui donnent la priorité à la sécurité

→ se préparer au passage à l’échelle de la sécurité

→ créer un programme de Bug Bounty - hackerone, cobalt

→ créer un inventaire des actifs de l’entreprise

→ créer une politique de sécurité interne

→ se préparer au phishing de domaine

• Utilisateurs du produit

→ appliquer une politique de mot de passe

→ renforcer la protection des données personnelles des utilisateurs : bloquer l’ingénierie sociale

→ recommander aux utilisateurs d’utiliser la 2FA. SSO et gestion des comptes basée sur les rôles - auth0, okta, WebAuthn

→ détecter les comportements anormaux des utilisateurs - castle