Gestion des risques de la chaîne d'approvisionnement (SCRM) – Pourquoi c’est indispensable pour la sécurité de votre entreprise.

La sécurité commence souvent dans des endroits invisibles — précisément là où les applications et les composants logiciels sont développés et assemblés. C’est ici que notre gestion des risques de la chaîne d’approvisionnement (Supply Chain Risk Management, SCRM) entre en jeu. Chez Protectstar, nous supervisons chaque étape de la chaîne d’approvisionnement — du développement et des tests jusqu’à la livraison. Ce processus de bout en bout vous protège contre les risques cachés et renforce nos normes élevées en matière de sécurité mobile, comme le démontrent également nos certifications DEKRA MASA L1 actuelles pour Antivirus AI, Anti Spy et iShredder Android.
 

Qu’est-ce que la gestion des risques de la chaîne d’approvisionnement (SCRM) ?

La SCRM englobe toutes les mesures et processus visant à garantir que les composants individuels — qu’il s’agisse de bibliothèques de code, de services externes ou de fournisseurs tiers — soient rigoureusement vérifiés et surveillés avant de faire partie d’un produit. À une époque où les environnements logiciels deviennent de plus en plus complexes, cela est crucial pour identifier les vulnérabilités dès le départ et prévenir les attaques sur la chaîne d’approvisionnement telles que Log4Shell ou les dépôts de code compromis comme SolarWinds.

Normes clés dans la chaîne d’approvisionnement logicielle

• NIST SP 800-161 (Gestion des risques de la chaîne d’approvisionnement)
• NIST SP 800-53 r5 (Contrôles de sécurité)
• ISO/IEC 27036 (Mesures de sécurité informatique dans les relations avec les fournisseurs)
• SBOM (Software Bill of Materials) : Fournit la transparence sur les composants et bibliothèques inclus dans le logiciel.

En respectant ces bonnes pratiques et d’autres (par exemple, ISO 28000 pour la sécurité de la chaîne d’approvisionnement), le risque de vecteurs d’attaque potentiels est considérablement réduit.
 

SCRM – L’élément invisible mais crucial derrière nos applications

Vous vous demandez peut-être comment nous garantissons que chaque bibliothèque et chaque service externe utilisé dans nos applications est fiable. La réponse courte : grâce à une SCRM cohérente. Aucun code de bibliothèque, aucun module externe et aucun fournisseur tiers n’est intégré sans que nous vérifiions les points suivants :

• Contrôles techniques de sécurité
  Tous les composants doivent être exempts de vulnérabilités ou de portes dérobées connues.
  Nous nous appuyons sur des audits internes et externes, des tests de pénétration réguliers et des revues de code.
  Les failles de sécurité dans les composants open source sont continuellement surveillées et gérées à l’aide d’un Software Bill of Materials (SBOM).
• Examens juridiques et de conformité
  Nous suivons des normes internationales reconnues (par exemple, NIST, ISO, OWASP).
  Cela garantit que tous les processus — les nôtres comme ceux de nos partenaires — sont toujours à jour.
• Audits et certifications réguliers
  Nous sommes régulièrement certifiés par des organisations telles que DEKRA, AV-TEST, entre autres.
  La transparence est essentielle pour nous : toute modification du code et des modules externes est continuellement documentée et évaluée.

Pour vous, cela signifie une protection sans faille de la toute première ligne de code jusqu’au téléchargement final de l’application sur votre smartphone.
 

DEKRA MASA L1 – Preuve de notre stratégie de sécurité cohérente

Une étape majeure dans notre processus SCRM est la certification DEKRA MASA L1. Elle confirme que nos applications disposent non seulement d’une architecture exceptionnellement sécurisée, mais qu’elles respectent également les normes strictes OWASP et sont minutieusement évaluées tant au niveau du code que de l’infrastructure