Introduction 

Sonatype a pour mission de mettre à disposition de vos équipes de développeurs des informations précises sur les composants open source et de vous aider à identifier les bibliothèques open source qui pourraient accroître les risques cybernétiques afin de les éviter. Nous nous engageons à agir en toute transparence quant à nos pratiques en matière de sécurité et à vous aider à comprendre notre approche. 

Sécurité organisationnelle 

Le programme de sécurité des informations de Sonatype est conforme aux normes ISO 27000 et NIST et est continuellement mis à jour avec les nouvelles recommandations et bonnes pratiques du secteur.

Un organisme de gouvernance officiel composé de cadres se réunit à intervalles réguliers pour prendre des décisions relatives à la gestion, aux politiques, aux risques et au financement du programme. L’équipe de sécurité de Sonatype, dirigée par le directeur de la sécurité des informations, est responsable de la mise en œuvre et de la gestion de notre programme de sécurité, qui inclut : la sécurité organisationnelle, la sécurité du DevOps, la surveillance, la réponse aux incidents, les risques et la conformité.

Protection des clients 

Le programme de sécurité de Sonatype a pour but de protéger nos clients, nos employés et notre entreprise. Notre équipe de professionnels de la sécurité, qui travaille main dans la main avec les membres de nos autres services, prend toutes les mesures nécessaires pour identifier et atténuer les risques, mettre en œuvre les bonnes pratiques et améliorer continuellement les services que nous proposons. 

Toutes les données transmises entre les services de Sonatype et ses clients sont protégées par des protocoles de chiffrement robustes. Sonatype prend en charge les dernières suites de chiffrement sécurisé recommandées pour chiffrer les données, y compris l’utilisation des protocoles TLS 1.2 et le chiffrement AES256.

Coup d'œil sur le concept du Security by Design 

Le programme de sécurité des informations de Sonatype repose sur les principes de défense approfondie et de moindre privilège. Il s’agit concrètement de renforcer la sécurité de notre entreprise et des produits que nous proposons, et ce à tous les niveaux. Certification ISO 27001 obtenue en mai 2021. 

Nos politiques de sécurité des informations comprennent une politique de sécurité d'envergure mondiale, la reprise après sinistre et la continuité des opérations, la réponse aux incidents, la classification des données, la gestion des ressources, les RH et la conformité. Ces politiques sont révisées sur une base annuelle et lorsque d'importants changements ont lieu. Nos employés sont tenus de suivre une formation de sensibilisation à la sécurité. 

L'équipe en charge de la sécurité des produits de Sonatype a conçu un cycle de développement sécurisé qui s'appuie principalement sur nos propres produits et pratiques OWASP. Bien que nous nous efforçons de détecter toutes les vulnérabilités qui pourraient survenir lors des phases de conception et d'essai, des erreurs peuvent tout de même se produire. C'est pourquoi nous avons mis en place un programme public de divulgation des bugs afin de favoriser la divulgation des vulnérabilités de sécurité potentielles de manière responsable. L'exactitude des vulnérabilités identifiées est vérifiée, et ces dernières sont ensuite triées et suivies jusqu'à leur résolution. 

Nos contrôles de reprise après sinistre et de continuité des opérations sont testés au moins une fois par an. Nous proposons l’authentification multifacteur à tous nos clients pour leur permettre d’accéder à leur boîte mail, à leurs fichiers ou à d’autres services, L’authentification multifacteur et le VPN sont nécessaires pour accéder à l’environnement de production dans AWS. IAM, Guard Duty, les groupes de sécurité VPC et Cloud Trail comptent parmi les contrôles de sécurité compris dans AWS. Notre planification de la réponse aux incidents comprend : des rôles et des responsabilités définis, une procédure d’escalade, un protocole de communication et des tests réguliers. 

Conclusion 

La protection de nos clients et la possibilité de concevoir facilement des logiciels plus sécurisés est une responsabilité que nous prenons très au sérieux et nous faisons tout notre possible pour conserver la confiance de nos utilisateurs. Pour toute question ou préoccupation, veuillez contacter votre chargé de compte.