La signature de code a été employée durant des décennies pour vérifier l’intégrité des logiciels, et la quasi-totalité des sociétés y recourent de manière à confirmer que leur code n’a pas été corrompu par des logiciels malveillants. Malgré cela, les entreprises d’aujourd’hui rencontrent souvent des difficultés pour sécuriser et protéger les opérations de signature de code.
« À l’heure actuelle, chaque entreprise est un développeur logiciel qui crée des applications, des bibliothèques, des conteneurs et d’autres outils », affirme Kevin Bocek, vice president of security strategy and threat intelligence chez Venafi. « Cependant, il est souvent très difficile de faire évoluer les opérations de signature de code. Communément jugées fastidieuses, les procédures de sécurité qui protègent la signature du code sont souvent ignorées par les développeurs. Les équipes de sécurité ne disposent donc malheureusement d’aucune visibilité, une situation propice aux criminels. Les clés de signature de code volées constituent de puissantes cyber-armes ciblant les sociétés et leurs clients. De Stuxnet aux campagnes de malware et de phishing actuelles, les attaques tirant parti de la signature de code échappent aux analyses des antivirus de nouvelle génération. »
Outre la sécurisation des processus de signature de code des entreprises, Next-Gen Code Signing automatise la gestion de l’ensemble des clés privées de signature de code. Celles-ci ne quittent jamais la plateforme de stockage approuvée de Venafi ou les boîtes noires transactionnelles (BNT) connectées. Cette solution novatrice fournit aux équipes de sécurité informatique une visibilité exhaustive ainsi que des renseignements détaillés concernant toutes les facettes des opérations de signature de code, y compris les signataires, le certificat utilisé, l’approbateur de la requête et l’horodatage de chaque action. À l’aide des informations recueillies sur les processus de signature de code, Next-Gen Code Signing peut générer des rapports de conformité et d’audit portant sur toutes les activités de signature de code.
Next-Gen Code Signing offre de nombreux avantages, parmi lesquels :
- Une évolutivité permettant de prendre en charge une poignée de développeurs sur un site comme des dizaines de milliers répartis dans le monde entier ainsi que des millions d’opérations de signature de code par semaine.
- L’automatisation et la prise en charge de nombreux processus de développement logiciel sans modification des outils de développement.
- Un site de stockage centralisé et permanent assurant la sécurité des clés privées.
- Une application flexible et personnalisable des politiques compatible avec les besoins de différents projets logiciels : approbation des flux de travail, types de certificats, autorités de certification, BNT, jeux d’outils de développement logiciel, etc.
Kevin Bocek conclut : « Next-Gen Code Signing permet aux développeurs logiciels d’employer leurs outils de signature de code existants sans modifier leur environnement de développement. Cette solution offre une couche technologique invisible qui assure la protection des clés de signature de code contre les pirates. Venafi Next-Gen Code Signing propose aux équipes de sécurité et aux développeurs un logiciel innovant alliant rapidité et sécurité. »
À propos de Venafi
Venafi est un acteur majeur du marché de la sécurité dans le domaine de la protection de l’identité des machines, des connexions et des communications sécurisées entre machines. Venafi protège l’identité des machines en orchestrant la gestion des clés cryptographiques et des certificats numériques pour les usages SSL/TLS, IoT, mobiles et SSH. Venafi fournit une visibilité complète des identités des machines et des risques associés dans l’entreprise au sens large – sur site, mobile, cloud et IoT – à l’échelle et la vitesse d’une machine. Venafi met en œuvre des processus avancés d’automatisation permettant de réduire les menaces pour la sécurité et les indisponibilités de services, liées aux identités faibles, obsolètes ou compromises des machines tout en préservant le flux d’informations à destination de machines fiables et en interdisant la communication avec des machines non fiables.
Titulaire de plus de 30 brevets, Venafi fournit des solutions innovantes aux entreprises du classement Global 5000 les plus exigeantes et sensibilisées à la sécurité, notamment les cinq premières compagnies d’assurance américaines, les cinq premières compagnies aériennes américaines, quatre des plus grandes banques des États-Unis, du Royaume-Uni et d’Afrique du Sud et quatre des cinq acteurs majeurs de la distribution aux États-Unis.
