Nous utilisons GitHub pour notre référentiel de code. Certains de nos clients intègrent WISEflow à leurs plateformes à l’aide d’API, et pour ce faire, ils doivent disposer d’une autorisation de connexion. Notre nouveau partenariat avec GitHub permet de rechercher ces clés API – nos identifiants – afin de vérifier si elles sont utilisées à d’autres fins. Si une clé API WISEflow est détectée dans des référentiels de code publics, GitHub la transmettra à UNIwise, et nous désactiverons alors immédiatement la clé et contacterons le client.
Cela contribuera à sécuriser les utilisateurs communs de WISEflow et de GitHub sur les référentiels privés et publics. Cela garantit également la protection de nos clients et de leurs données.
L'objectif principal d'un attaquant serait d'utiliser des clés API pour accéder à notre système, puis d'essayer d'exploiter ses autorisations pour obtenir un accès root. On parle alors d'attaque de la chaîne d'approvisionnement, c'est-à-dire une cyberattaque visant à nuire à une entreprise en ciblant les maillons les moins sécurisés de la chaîne d'approvisionnement.
Un exemple bien connu de ce type d’attaque est la violation de données du gouvernement fédéral américain en 2020, orchestrée par un groupe soutenu par le gouvernement russe. Les attaquants ont utilisé les identifiants de plusieurs entreprises, notamment Microsoft et SolarWinds, une grande société américaine de technologies de l’information. Du code piraté a été introduit sur les ordinateurs des clients via des mises à jour logicielles, puis utilisé comme porte dérobée pour accéder à leurs systèmes afin d’espionner leurs opérations et d’installer d’autres logiciels espions. Le coût de ce piratage pour les entreprises et les agences gouvernementales américaines a été estimé à plus de 100 milliards de dollars
Dans le cas de WISEflow et GitHub, l’analyse des clés API permet de bloquer les attaquants sur le champ. Notre collaboration avec GitHub renforce encore davantage la sécurité de nos données, qui est au cœur de notre activité, et protège les données de nos clients.
Outre notre partenariat avec GitHub, UNIwise dispose d'autres partenaires de sécurité qui nous aident à examiner et à améliorer la sécurité de la configuration interne de WISEflow.
