Skip to main content
Skip table of contents

Sécurité des opérations

Introduction

La sécurité est une priorité absolue chez MyQ Roger. Nous appliquons une approche axée sur la sécurité à chaque étape du développement, du déploiement et des opérations. Compte tenu de la nature critique des environnements cloud, la sécurité doit être proactive, automatisée et surveillée en permanence afin de prévenir les violations et les accès non autorisés.

Notre stratégie d'opérations sécurisées intègre une surveillance continue, la gestion des vulnérabilités, la sécurité des infrastructures et la conformité afin de garantir l'intégrité des applications et des infrastructures.

Surveillance

La surveillance continue est essentielle pour détecter et répondre aux menaces en temps réel. MyQ met en œuvre une approche de surveillance à plusieurs niveaux :

Détection et réponse aux incidents au niveau des terminaux (EDR)

  • Surveille tous les terminaux (serveurs, machines virtuelles et conteneurs) à la recherche d'activités suspectes.

  • Utilise l'analyse comportementale et les renseignements sur les menaces pour détecter les menaces avancées.

  • Isole automatiquement les terminaux compromis pour empêcher tout mouvement latéral.

Azure Defender (désormais Defender for Cloud)

  • Protège Azure AKS, SQL Server, les machines virtuelles et le stockage.

  • Fournit une détection des menaces en temps réel et des recommandations de configuration de sécurité.

  • S'intègre à Microsoft Sentinel (SIEM) pour une alerte centralisée.

Analyse des hôtes

  • Analyse les machines virtuelles, les instances cloud et les serveurs sur site à la recherche de configurations incorrectes et de logiciels obsolètes.

  • Détecte les risques d'escalade de privilèges, les points d'accès non autorisés et les dépendances obsolètes.

Collecte et analyse des journaux

  • Journalisation centralisée sur un cluster séparé pour plus d'évolutivité et d'isolation.

  • Les journaux provenant de Kubernetes, des applications et de l'infrastructure sont étiquetés pour une récupération efficace.

  • Les politiques de conservation à long terme garantissent la conformité et l'analyse de la sécurité.

  • Les mécanismes d'alerte détectent les anomalies et les incidents de sécurité, en s'intégrant au SIEM.

  • Corrélation des journaux en temps réel pour les requêtes API, les événements d'authentification, les requêtes de base de données et le trafic du pare-feu.

Analyse des ports

  • Détecte les ports ouverts non autorisés qui exposent les services à des menaces.

  • Utilise des outils automatisés tels que Nmap et ZMap pour rechercher les changements de ports inattendus.

Analyse des conteneurs

  • Analyse statique et dynamique des conteneurs Docker avant leur déploiement.

  • Identifie les vulnérabilités dans les images de base, les couches d'application et les autorisations d'exécution.

  • Intégration avec Trivy pour l'analyse de sécurité des images.

Surveillance Kubernetes

  • Utilise la surveillance embarquée Azure Kubernetes Service (AKS) avec Prometheus & Grafana.

  • Surveille les appels API Kubernetes, les politiques RBAC et la sécurité des pods.

  • Alerte en cas d'escalade des privilèges des conteneurs, d'utilisation excessive des ressources et de tentatives de mouvement latéral.

Analyses TLS régulières

  • MyQ effectue des analyses de sécurité TLS à l'aide de Qualys SSL Labs afin de garantir le respect des meilleures pratiques.

  • Les configurations TLS sont évaluées afin de maintenir une note de sécurité A+, ce qui permet d'atténuer les risques liés aux protocoles faibles.

  • Des outils automatisés vérifient la validité des certificats, le suivi des expirations et la force des protocoles.

Gestion des vulnérabilités

Analyse des vulnérabilités

  • Des analyses régulières détectent les failles de sécurité dans les applications et l'infrastructure.

  • Comprend l'analyse CVE automatisée pour les composants déployés dans le cloud.

  • S'intègre à DefectDojo, SonarQube et Trivy pour l'évaluation des risques.

Tests de pénétration

  • Réalisés régulièrement pour identifier les failles de sécurité avant qu'elles ne soient exploitées.

  • Combine des méthodologies de test automatisées et manuelles pour une évaluation complète.

  • Les résultats sont documentés, classés par ordre de priorité et corrigés en conséquence.

Sécurité de l'infrastructure

Une infrastructure renforcée garantit une sécurité qui va au-delà de la simple surveillance. MyQ utilise :

SIEM (gestion des informations et des événements de sécurité)

  • Microsoft Sentinel SIEM collecte les événements de sécurité pour une détection en temps réel.

  • Analyse les journaux des pare-feu, des systèmes d'identité, des applications, des audits et des flux de menaces.

  • Permet des réponses automatisées aux menaces détectées.

Suivi et gestion de la sécurité

  • La base de données Jira Bug suit, classe et hiérarchise les vulnérabilités de sécurité.

  • DefectDojo consolide les résultats des tests, garantissant un suivi structuré des engagements en matière de sécurité.

  • Des correctifs et des remèdes réguliers permettent de maintenir une posture de sécurité solide.

Gestion des identités et des accès (IAM)

  • Applique le principe du « zéro confiance » grâce au contrôle d'accès basé sur les rôles (RBAC) et à l'authentification multifactorielle (MFA).

  • Utilise Azure AD pour la gouvernance des identités.

  • Les alertes d'escalade de privilèges détectent les accès administrateur non autorisés.

Workflow de développement

Le développement sécurisé de logiciels est un aspect essentiel de la stratégie de sécurité de MyQ. Les mesures suivantes garantissent l'intégrité du code, des pipelines et des environnements cloud :

Environnement de développement sécurisé

  • Les développeurs MyQ utilisent des environnements sécurisés avec protection des terminaux.

  • Les développeurs doivent suivre des pratiques de codage sécurisées et suivre régulièrement des formations sur la sécurité.

Pipelines sécurisés GitLab

  • Les pipelines GitLab CI/CD comprennent des contrôles de sécurité automatisés, des revues de code et des tests.

  • Les tests de sécurité statiques des applications (SAST) et les tests de sécurité dynamiques des applications (DAST) détectent les vulnérabilités.

  • La signature des images de conteneurs garantit que seules les images fiables sont déployées.

IAM et contrôle d'accès

  • Seuls les membres sélectionnés des équipes DevOps et SecOps ont accès aux environnements cloud Azure.

  • Un contrôle d'accès basé sur les rôles (RBAC) avec élévation des privilèges minimaux juste à temps (JIT) est appliqué.

Sécurité Azure Kubernetes et des conteneurs

  • Les clusters AKS de MyQ extraient les images uniquement à partir du registre de conteneurs Azure (ACR).

  • Les environnements AKS appliquent des politiques réseau et des normes de sécurité des pods (PSS) afin d'isoler les charges de travail.

Gestion des secrets

  • Tous les secrets et clés API sont stockés dans Azure Key Vault, accessible uniquement au personnel autorisé par IAM.

  • Des analyses du système de fichiers Trivy sont effectuées avant la validation dans Git afin de détecter et d'empêcher les secrets sensibles.

Conclusion

La stratégie de sécurité des opérations de MyQ repose sur une surveillance continue, une gestion proactive des menaces et une sécurité solide de l'infrastructure. En tirant parti d'outils de sécurité avancés, de contrôles d'accès stricts et de tests automatisés, MyQ garantit un environnement cloud sécurisé et résilient.

Grâce à l'intégration de scans de sécurité TLS, de tests de pénétration et d'une journalisation centralisée, MyQ renforce sa capacité à détecter, répondre et atténuer efficacement les risques de sécurité.

La sécurité est un défi en constante évolution, et MyQ reste déterminé à renforcer ses mesures de sécurité par des mises à jour régulières, des audits de conformité et des bonnes pratiques en matière de sécurité. En privilégiant la sécurité, MyQ préserve l'intégrité et la confidentialité de ses services, garantissant ainsi la confiance et la fiabilité de toutes les parties prenantes.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close