Gestion des risques liés à la chaîne d'approvisionnement logicielle chez Synology

Alors que les entreprises dépendent de plus en plus d'un réseau complexe de fournisseurs en amont, il est d'autant plus nécessaire de gérer les risques de manière proactive. Découvrez comment Synology s'efforce de gérer et d'atténuer les risques au sein d'une chaîne d'approvisionnement logicielle plus longue, grâce à une garantie de transparence, à la gestion des fournisseurs et à des contrôles de sécurité complets.

Visionner la vidéo

Nomenclatures logicielles complètes : plus de transparence et délai de réponse optimisé

Synology maintient une nomenclature logicielle (SBOM) pour chaque produit dans le cadre d'une stratégie de gestion des risques de la chaîne d'approvisionnement logicielle (SSCRM) plus large. Les SBOM des produits tiennent compte de tous les composants Open Source et propriétaires, ce qui facilite une évaluation complète des licences et une meilleure conformité pour les secteurs sensibles. Synology utilise un processus automatisé pour maintenir les SBOM, en veillant à ce que les informations soient exactes et à jour, et que les SBOM soient mises à la disposition des parties prenantes et des clients concernés selon les besoins. Les SBOM des produits Synology facilitent une évaluation et une réponse rapides lorsque des risques de vulnérabilité sont identifiés. Cela est possible grâce à leur compatibilité avec la base de données CVE de MITRE et au catalogue KEV de la CISA aux États-Unis.

Analyse de la composition du logiciel : meilleure qualité, réduction des risques

La stratégie SSCRM de Synology tire profit de l'analyse de la composition logicielle (SCA), une étape essentielle pour le développement de chaque produit. La SCA permet d'empêcher tout code malveillant ou non sécurisé de s'introduire dans les nouvelles versions de produits et d'assurer la conformité des licences pour Synology et ses partenaires en aval. Grâce à la SCA, Synology identifie et est en mesure d'atténuer les risques dès le début de la phase de développement. La SCA offre également des informations précieuses sur la qualité du codebase de n'importe quel composant donné, ce qui engendre une meilleure gestion des fournisseurs et une intégration plus intelligente des composants.

Partenariat avec des fournisseurs en amont

Les partenaires de Synology en amont de la chaîne d'approvisionnement nous aident à fournir d'excellents produits et services à nos clients. C'est pourquoi Synology s'engage à travailler avec des fournisseurs pour mettre en œuvre des normes de conception qui mettent la sécurité au premier plan, pour développer et maintenir une transparence élevée, et pour améliorer sa capacité et sa vitesse de réponse de manière proactive. Synology identifie les meilleurs partenaires pour former la chaîne d'approvisionnement dans le but de développer des partenariats commerciaux durables et de créer une stratégie d'approvisionnement à long terme.

La sécurité interne comme priorité absolue

Sécurité de l'infrastructure

L'infrastructure interne et les équipes d'intervention de Synology travaillent en collaboration pour améliorer la résilience organisationnelle, ainsi que pour maîtriser les cybermenaces et y répondre. Les équipes Synology se mobilisent de manière proactive pour protéger l'infrastructure et les actifs à travers la protection des points de terminaison, un modèle d'accès Zero Trust et la gestion centralisée des mises à jour de sécurité. L'équipe Synology en charge de l'infrastructure surveille également le trafic réseau pour réduire les risques de cybermenaces, et toutes les équipes Synology responsables de la sécurité sont impliquées dans la création de directives de sécurité permanentes pour l'ensemble de l'entreprise.

Sécurité du développement produit

Les développeurs respectent les normes Synology publiées en interne en matière de codage sécurisé lors du développement de produits. Tout le code fait l'objet d'une évaluation, et chaque composant soumis est examiné par les architectes du projet. Une signature de code est utilisée sur certains points de développement, ce qui réduit les vecteurs d'attaque potentiels. Plus important encore, Synology respecte également les pratiques standard du cycle de vie du développement sécurisé (SDLC) pour chaque produit, garantissant ainsi la qualité, la sécurité et la facilité de maintenance de chaque version.

En savoir plus sur la sécurité des produits Synology

Premiers pas

Signalez les bugs de sécurité ou soumettez des questions liées à la sécurité.

Nous contacter