Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Carole Winqwist, GitGuardian : la sécurisation par l’entreprise de ses nombreuses identités machines est primordiale.

octobre 2024 par Marc Jacob

Durant les Assises de la cybersécurité, GitGuardian présentera toute sa gamme de solutions avec entre autre la sécurisation des divers composants du cycle de développement logiciel. Pour Carole Winqwist, Directrice Marketing de GitGuardian la sécurisation par l’entreprise de ses nombreuses identités machines est primordiale.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises 2024 ?

Carole Winqwist : Nous continuons à innover afin de résoudre le problème de dispersion des secrets qui s’aggrave chaque année un peu plus.
Nous allons encore plus loin dans la sécurisation des divers composants du cycle de développement logiciel. Outre les dépôts de code, outils CI/CD, images Docker, nous pouvons maintenant détecter automatiquement les secrets exposés là où le code se crée, dans l’éditeur de code, avec une extension pour Visual Studio Code.
Couvrir les outils des développeurs n’est plus suffisant, nous retrouvons des quantités phénoménales de secrets dans les outils de productivité. Une très grande entreprise de divertissement américaine a récemment été victime d’une très grosse brèche à cause de secrets exposés dans son Slack interne ! Nous proposons à nos clients de les détecter dans Slack, Microsoft Teams, Jira, Confluence, et bientôt dans la plupart des registres d’artefacts.

Si la détection d’incidents est importante, leur résolution ne peut être en reste. Nous avons donc repensé nos capacités de suivi de remédiation de secret, afin que les développeurs et les équipes sécurité aient directement les fichiers et lignes de code à corriger sous les yeux, et suivent automatiquement la progression de la remédiation des incidents. Ils n’auront plus besoin d’aller de fichier en fichier, à la recherche de la ligne à corriger.

Nous n’avons pas oublié les besoins de nos utilisateurs pour se conformer aux réglementations locales. Nous pouvons donc maintenant offrir l’hébergement des données de nos clients soit en Europe, soit aux USA.

Enfin, nous proposons maintenant aux entreprises un audit gratuit et en temps réel des secrets exposés publiquement sur GitHub par leurs employés. Cet outil rencontre déjà un beau succès, et cela n’est pas étonnant : c’est comme cela que GitGuardian s’est fait connaître !

GS Mag : Quel va être le thème de votre conférence cette année ?

Carole Winqwist : Nous avons convié Tanguy Segarra, Lead SOC de Doctolib, à venir partager son expérience sur la mise en place d’un programme de gestion des secrets, et à donner des actions concrètes pour améliorer la posture de son organisation.
Il y sera notamment question des impacts sur les équipes, les process, et de comment s’outiller et s’assurer de l’adoption des meilleures pratiques en interne.

GS Mag : Comment allez-vous aider les entreprises à se mettre en conformité avec NIS2 ?

Carole Winqwist : Le 17 octobre se rapproche à toute vitesse ! Si NIS manquait de cohérence dans son application, NIS2 a une approche beaucoup plus concrète et nécessite notamment que les organisations rendent compte très efficacement de leurs incidents de cybersécurité. Sachant que les secrets compromis sont devenus le vecteur d’attaque le plus exploité par les attaquants, on comprend vite que les entreprises ne peuvent plus se passer d’un outillage adéquat.
GitGuardian offre toutes ces capacités de reporting en temps-réel, en s’interfaçant avec n’importe quel outil d’alerting via des webhooks personnalisables. Et pour les entreprises qui souhaitent centraliser toutes leurs alertes via leur SOC, nous sommes capables d’exporter tous nos incidents au format SARIF, le standard de l’industrie.
Avec toutes ces possibilités, nos utilisateurs peuvent se mettre en conformité avec NIS2. Nous surveillons continuellement toutes les évolutions réglementaires dans le monde, afin d’anticiper les exigences de nos clients.

GS Mag : Comment va évoluer votre offre pour 2024/2025 ?

Carole Winqwist : Nous allons pousser la sécurité des secrets à des niveaux jamais vus jusqu’ici.
Nos clients sont de plus en plus nombreux, car ils veulent s’équiper avec la solution leader du marché. Nous sommes donc confrontés à des besoins sans cesse renouvelés, dans un écosystème qui évolue de plus en plus rapidement : il n’y a qu’à regarder la vitesse avec laquelle les entreprises ont été confrontées à l’utilisation d’IA générative.
Très simplement, nous constatons que la surface d’attaque des entreprises est en perpétuelle augmentation. Pour pallier ce problème et permettre une remédiation réelle des incidents afin de se protéger efficacement des attaques, il faut passer à l’échelle supérieure sur la compréhension de l’utilisation des secrets dans les organisations.

Nous lancerons bientôt une solution de sécurité des secrets de bout en bout. Cela signifie que nous serons en mesure d’observer le cycle complet de chaque identité machine (le concept de Non-Human Identities en anglais).

GS Mag : Quelle sera votre stratégie globale pour 2024/2025 ?

Carole Winqwist : Nous sommes à l’aube de la redéfinition radicale d’une industrie bien établie jusqu’ici. Avec une stratégie aussi ambitieuse et un marché toujours plus compétitif, il nous a été indispensable d’aligner notre organisation pour être à la hauteur du challenge.
C’est donc un changement d’état d’esprit qui s’est opéré. Nous ne nous restreignons plus au marché de la sécurité des applications uniquement, nous nous attelons maintenant à la gestion des accès par les identités machines.

Nous avons commencé par renforcer notre leadership, avec l’arrivée d’un nouveau CTO, et des ambitions à l’international renouvelées. Nous avons également musclé l’encadrement opérationnel des équipes, avec une organisation plus transversale et décloisonnée : l’information doit circuler rapidement et de manière très efficace.
Nos équipes Produit et Engineering travaillent main dans la main, sous la houlette de notre CEO et CPO Eric Fourrier, et de notre nouveau CTO, afin de permettre à nos solutions existantes d’être toujours plus performantes et scalables. Nous avons nettement amélioré les performances de notre moteur de détection grâce à des modèles de Machine Learning développés en interne. Et nous sommes garantis d’être au contact permanent de l’innovation avec l’arrivée de chercheurs en cybersécurité.
Nous démultiplions nos efforts commerciaux, avec notre équipe d’avant-vente, le renforcement de nos maillages locaux en Europe et aux USA, des équipes dédiées à la production de contenus sur nos problématiques et notre présence à de nombreux évènements où vous pourrez nous rencontrer. Toutes les autres équipes se développent également à Paris, Boston, ou en distanciel, et cela ne serait pas possible sans la croissance de nos fonctions supports et l’ajustement constant de nos process.

GS Mag : Quel est votre message aux RSSI ?

Carole Winqwist : Cela fait maintenant longtemps que nous parlons du problème de la sécurité des secrets exposés, que ce soit dans le périmètre interne de l’entreprise, ses outils de développement et de productivité, mais aussi à l’extérieur, notamment des secrets exposés publiquement sur GitHub.
En réalité, ce n’est qu’une partie d’une problématique bien plus large : la sécurisation par l’entreprise de ses nombreuses identités machines. Toutes les entreprises sont devenues des entreprises de logiciel ! L’usage d’assistants GenAI pour coder et d’outils d’automatisation no-code se répand, et avec le besoin de s’assurer d’un management efficace et de la sécurité des identités machines. Aujourd’hui, les entreprises ne disposent pas d’une seule source de vérité autour de leurs identités machines, ce qui les oblige à passer un temps fou à les inventorier dans divers environnements. Bientôt GitGuardian vous permettra de faire cela automatiquement, et bien plus !


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants