Attendez, d’abord, qu’est-ce que AppSec ?
AppSec est l’abréviation de Application Security. Cela signifie que nous nous assurons que la plateforme monday.com exécute un logiciel sécurisé afin que les données de nos clients stockées sur monday.com soient en sécurité.
Cela ne semble pas trop difficile, mais quels sont les défis ?
Il y a tout un tas de défis à relever. L’un d’entre eux est que même si les développeurs font un travail fantastique, il y a parfois des bugs, et parfois ces bugs peuvent devenir des vulnérabilités qui peuvent conduire à des problèmes.
Un autre défi est de gérer la sécurité à grande échelle : comment s’assurer que la sécurité est mise en œuvre partout lorsque nous sommes une entreprise en évolution rapide et en croissance constante.
Alors, comment on fait ?
Tout d’abord, comme de nombreuses entreprises, nous avons mis en place un S-SDLC (Secure Software Development Life Cycle).
Notre S-SDLC comprend, sans toutefois s’y limiter :
- Former les développeurs
- Examen de la conception de la sécurité (également appelé modélisation des menaces)
- Évaluation par les pairs pour chaque logiciel écrit sur monday.com
- Outils de sécurité exécutés sur nos PR, tels que (mais sans s’y limiter) :
- Dangeroid (recherche des modèles dangereux ou des cas qui nécessitent plus d’attention)
- SAST (analyse de code statique)
- Scanner secret (recherche de mots de passe ou de jetons dans notre code)
- SCA (vérification des dépendances open source vulnérables)
Même si nous avons encore beaucoup à améliorer dans le domaine de la mise à l’échelle, nous automatisons autant que possible notre processus. De plus, la méthode monday.com est que même le nouveau développeur assume la responsabilité du code qu’il écrit. Ainsi, même si nous proposons une formation à tous les développeurs, il leur incombe d’y assister et de mettre en œuvre ce qu’ils ont appris. L’équipe AppSec est en contact quotidien avec tous les domaines de R&D, mais nous attendons (et ils le font) que les équipes viennent nous voir pour un examen et pour discuter de la manière la plus sûre de mettre en œuvre leur projet.
De plus, en exécutant les outils dans le pipeline, les développeurs obtiennent un retour immédiat et peuvent corriger leur code/dépendances avant d’atteindre l’examen par les pairs, économisant ainsi 🕜 et 💰.
Que fait d’autre AppSec sur monday.com ?
En tant que gardiens de notre plateforme, nous nous occupons de quelques tâches supplémentaires très intéressantes qui nous tiennent en haleine. Il s’agit notamment de :
Chasse aux bugs
monday.com maintient un compte privé programme de chasse aux bugs Nous permettons aux pirates d’essayer de trouver des vulnérabilités dans nos logiciels. L’équipe AppSec est celle qui gère le programme (lancement de campagnes pour des vulnérabilités ou des fonctionnalités spécifiques, engagement des pirates, etc.), examine les résultats (comprendre, reproduire, hiérarchiser, etc.) et prend en charge les vulnérabilités de bout en bout avec les équipes de développement pour les corriger et payer les pirates pour leurs précieuses découvertes et l’amélioration de notre plateforme.
Tests de pénétration
En plus des tests automatiques et du programme de bug bounty sur notre plateforme, nous collaborons également avec une équipe professionnelle de testeurs de pénétration qui explorent en profondeur notre plateforme, parfois avec des tests en boîte grise où nous leur donnons quelques indications sur la façon dont nous avons implémenté nos fonctionnalités. Cela permet d’éviter une partie de la reconnaissance requise lors d’une attaque et de permettre des tests plus approfondis et plus ciblés.
Détection d’anomalies et d’abus
En collaboration avec notre équipe de sécurité des données, nous identifions les utilisations abusives de notre formidable plateforme par des acteurs malveillants. Il s’agit notamment de l’ouverture de comptes pour envoyer du spam via notre système de notifications, des tentatives de phishing avec nos WorkForms, etc. Nous pouvons identifier les situations où les choses se passent différemment de ce que nous attendions et détecter les bugs/vulnérabilités le plus tôt possible.
Équipe d’intervention en cas d’incident
Malheureusement, nous avons des bugs et des vulnérabilités logicielles. Parfois, ces vulnérabilités ont entraîné l’échec de certaines mesures de sécurité et un utilisateur a pu effectuer une action qu’il n’aurait pas dû effectuer ou voir des données auxquelles il n’avait pas accès. On parle alors d’incidents de sécurité ou de confidentialité.
L’équipe AppSec dirige l’équipe de réponse aux incidents pour de tels incidents sur notre plateforme. Cela comprend la coordination avec la R&D pour l’enquête et la résolution, la collaboration avec l’équipe Confidentialité et CX pour communiquer avec le client concerné