Comment se conformer aux exigences de la directive NIS2 avec GitLab

Les organismes gouvernementaux et législatifs du monde entier promulguent régulièrement de nouvelles lois et exigences pour faire face au risque croissant posé par notre quotidien de plus en plus numérisé et les menaces de cybersécurité qui en résultent. La directive NIS2 de l'Union européenne vise à renforcer la cybersécurité en se concentrant sur des compétences essentielles telles que la résilience, la réponse aux incidents et la gestion des risques.

En tant que plateforme DevSecOps alimentée par l'IA la plus complète, GitLab est utilisée dans le monde entier pour développer des logiciels de qualité plus rapidement. La diversité des fonctionnalités de GitLab en fait un atout unique et précieux, capable de répondre aux nombreux besoins de nos clients en matière de sécurité et de conformité.

Dans cet article, explorons ensemble la façon dont vous pouvez vous appuyer sur notre plateforme pour accompagner vos efforts de conformité à la directive NIS2.

Article 7 : Stratégie nationale en matière de cybersécurité

Section 2(a) : la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités pour la fourniture de leurs services.

La directive NIS2 exige que les États membres adoptent des politiques en matière de cybersécurité dans la chaîne d'approvisionnement.

Bien que celles-ci doivent encore être définies par chaque État membre, GitLab dispose d’une suite de fonctionnalités permettant aux clients de gérer la sécurité de leur offre de services, ainsi que celle de leur chaîne d'approvisionnement :

• Les tests statiques de sécurité des applications (SAST), l'analyse de sécurité de l'infrastructure en tant que code et les tests dynamiques de sécurité des applications (DAST) permettent aux clients d'analyser leur code source et leurs fichiers de définition d'infrastructure, ainsi que leurs applications en cours d'exécution pour détecter d'éventuelles vulnérabilités. Les résultats peuvent ensuite être triés et traités conformément aux processus de chaque entreprise.

• La fonctionnalité d'analyse des conteneurs de GitLab aide les clients à identifier les vulnérabilités connues dans leurs images de conteneurs.

• Au niveau de la chaîne d'approvisionnement, l'analyse des dépendances aide à identifier les vulnérabilités connues dans les dépendances des applications des clients. La conformité des licences logicielles étend la portée de l'analyse des dépendances en déterminant si les licences des dépendances répondent à un ensemble de critères déterminés par l'entreprise.

• Avec la liste des dépendances de GitLab, les entreprises peuvent créer une nomenclature logicielle (SBOM) CycloneDX. Pour en savoir plus, consultez ce tutoriel dédié à l'exportation d'une SBOM.

La combinaison de ces fonctionnalités d'analyse contribue à la création d'un ensemble de tests complet et efficace, capable de prendre en charge des processus robustes de développement d'applications et de gestion de la chaîne d'approvisionnement. Le DAST, l'analyse des dépendances et la conformité des licences logicielles sont disponibles avec un abonnement à GitLab Ultimate.

Essayez GitLab Ultimate gratuitement pendant 30 jours.

Article 21 : Mesures de gestion des risques en matière de cybersécurité

La directive NIS2 exige des États membres qu'ils veillent à ce que les entités essentielles et importantes mettent en œuvre des mesures techniques, organisationnelles et opérationnelles appropriées visant à gérer correctement les risques et atténuer l'impact subi par les utilisateurs à la suite d'incidents affectant leurs services.

Section 2(d) : la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs.

L'étape de sécurisation de GitLab permet aux clients de mettre en place un large éventail de capacités de détection et de réponse qui améliorent la sécurité de leur code et résout les risques au sein de leurs chaînes d'approvisionnement.

Ces fonctionnalités peuvent être exploitées pour répondre aux exigences que les États membres définiront dans le cadre de cette section.

Section 2(e) : la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités.

En tant que plateforme DevSecOps complète, les fonctionnalités de GitLab aident à sécuriser l'ensemble du cycle de livraison de logiciels de nos clients.

• Les outils de planification de GitLab peuvent soutenir vos efforts de gestion de projet et assurer que la sécurité de l'information est correctement prise en compte à chaque phase du cycle de vie d'un projet. Pour en savoir plus, consultez l'article ISO 27001: comment GitLab vous assiste dans votre démarche de conformité..

• Grâce à des fonctionnalités telles que les branches protégées, les approbations de merge requests, les règles en matière de push et les validations signées, l'étape de création de GitLab propose une base sécurisée capable d'évoluer en fonction des besoins des développeurs au fur et à mesure de leur création de code sécurisé.

• Les fonctionnalités de l'étape de sécurisation de GitLab évoquées plus haut apportent une valeur basée sur la sécurité aux étapes de vérification, d'empaquetage et de déploiement de GitLab. Ces étapes comprennent des fonctionnalités d'intégration et de livraison continues, telles que les pipelines de merge request et les runners protégés, ainsi que plusieurs registres d'artefacts pour répondre aux besoins de votre entreprise.

• L'étape de surveillance de GitLab offre des fonctionnalités telles que les alertes et les incidents permettant aux entreprises de prendre connaissance des incidents et d'en suivre la progression depuis notre plateforme jusqu’à leur remédiation.

• Les fonctionnalités de l'étape de gouvernance de GitLab établissent des normes quant à l'utilisation d’une instance de GitLab et à ses modalités. Elles soutiennent également les efforts globaux de conformité d'une entreprise.

  • Des fonctionnalités telles que le SCIM, le SSO et les rôles personnalisés prennent efficacement en charge les cycles de vie d'authentification et d'autorisation.

  • Les stratégies d'approbation des merge requests constituent un outil puissant qui intègre une barrière de sécurité dans votre cycle de développement logiciel. À l'aide des stratégies d'approbation des merge requests, il est possible d'exiger des approbations supplémentaires pour des événements. Par exemple, lorsque des vulnérabilités sont détectées après un commit, lorsque certains types de licences sont détectés dans des dépendances ou lorsqu'une merge request est effectuée sur une branche protégée spécifique. Les stratégies d'approbation des merge requests sont incluses dans l'abonnement à GitLab Ultimate.

  • Avec GitLab Duo, les entreprises peuvent tirer parti de la fonctionnalité d'explication des vulnérabilités pour : résumer une vulnérabilité, aider les développeurs et les analystes de sécurité à comprendre la vulnérabilité, comment elle pourrait être exploitée et comment la corriger, ou encore suggérer des mesures d’atténuation.

  • Les événements d'audit en streaming permettent aux entreprises d'envoyer des événements d'audit de leur groupe principal vers un emplacement externe afin de recevoir tous les événements se rapportant au groupe, aux sous-groupes et aux projets. Les événements d'audit en streaming sont disponibles avec un abonnement GitLab Ultimate.

  • Un programme complet de lutte contre les menaces internes combine plusieurs niveaux de contrôles de détection, de prévention et de réaction. La limitation des requêtes pour la gestion des abus de Git avertit automatiquement les administrateurs lorsqu'un utilisateur télécharge, clone, effectue un pull, récupère ou duplique un nombre de dépôts supérieur à une certaine limite au cours d'une période donnée. Les entreprises peuvent aller plus loin et activer le bannissement automatique pour bannir l'utilisateur fautif du groupe et de ses sous-groupes. La limitation des requêtes pour la gestion des abus de Git est proposée dans l'abonnement GitLab Ultimate.

  • Pour approfondir les vulnérabilités détectées, le rapport de vulnérabilités de GitLab fournit des informations sur les vulnérabilités issues des scans de la branche par défaut. Les rapports de vulnérabilité sont disponibles avec un abonnement GitLab Ultimate.

Section 2(j) : l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

GitLab offre plusieurs options d'authentification à plusieurs facteurs pour renforcer le processus d'authentification. Les clients peuvent sélectionner l'option d'authentification multifacteur qui répond à leurs exigences, ou encore mettre en œuvre le SSO pour améliorer davantage le processus d'authentification.

Quelles sont les prochaines étapes ?

La plateforme de GitLab est bien placée pour répondre aux exigences du cycle du développement logiciel au fur et à mesure de la mise en place des directives générales qui seront émises par les États membres en réponse à la directive NIS2.

Pour en savoir plus sur les fonctionnalités décrites tout au long de cet article, consultez notre bibliothèque de tutoriels.

Essayez GitLab Ultimate gratuitement pendant 30 jours.