Si votre organisation utilise des systèmes de contrôle de version comme GitHub, GitLab et Bitbucket, vous êtes probablement conscient que le code en tant que propriété intellectuelle est l’actif le plus précieux au sein de votre entreprise—vous et votre équipe avez passé des milliers d’heures (et d’argent) à écrire, soutenir et améliorer les projets. En tant que CTO, responsable informatique, propriétaire de société de logiciels ou chef d’équipe, vous pouvez probablement imaginer combien cela vous coûterait de perdre le code sur lequel votre équipe travaille depuis des mois.
Mais est-ce même possible? Les violations de données, les temps d’arrêt des systèmes, les changements de politiques, et plus encore—tous ces facteurs peuvent limiter l’accès à vos référentiels sur GitHub, GitLab et Bitbucket, et mettre votre propriété intellectuelle en péril. Sans une protection adéquate de votre PI, votre entreprise pourrait ne pas être en mesure de tirer pleinement parti du code créé par vos employés.
Qu’est-ce qui peut mal tourner avec vos données Git?
Maintenant, trouvons quelques arguments qui vous soutiendront lors de discussions avec vos supérieurs, membres d’équipe et même développeurs sur le fait que les logiciels de sauvegarde de référentiel professionnels sont essentiels pour votre processus de développement et la sécurité de l’entreprise.
1. Modèle de responsabilité partagée
Comme la plupart des fournisseurs de SaaS, GitHub, GitLab et Atlassian reposent sur des modèles de responsabilité partagée qui définissent quelles tâches de sécurité sont assurées par le fournisseur de services et celles qui incombent à votre organisation. En résumé, les fournisseurs de services sont généralement responsables de l’accessibilité, de la sécurité et de la disponibilité de l’ensemble du système. Mais en ce qui concerne les données, ils ne sont que des processeurs de données. Vous êtes le propriétaire, donc vos données sont votre préoccupation—il vous faut veiller à ce qu’elles soient correctement protégées et conformes à toutes les exigences légales, par exemple en termes de conservation des données.
Chez Atlassian, la société gère la sécurité des applications elles-mêmes, des systèmes sur lesquels elles fonctionnent et des environnements dans lesquels ces systèmes sont hébergés. Ils assurent la conformité avec des normes telles que SOC2 ou PCI DSS.
Vous êtes responsable de la gestion appropriée des informations sur votre compte. Vous devez contrôler les utilisateurs, l’accès à vos données et les applications que vous installez et faites confiance. Enfin, vous êtes responsable de veiller à ce que votre entreprise respecte les exigences de conformité. Tout comme dans l’image ci-dessous :
Image: Atlassian Cloud Security Shared Responsibilities (Source: Atlasssian)2. Pannes
Croyez-nous ou vérifiez-le, mais il y a eu de nombreuses fois où GitHub, Bitbucket ou GitLab ont été en panne, laissant de nombreuses entreprises sans accès à leur code et la possibilité de travailler. Allant plus loin, avec de nombreuses pertes financières.
Selon TechCrunch, l’une des plus grandes pannes de GitLab a eu lieu en 2017. Elle a été causée par la suppression accidentelle de données des serveurs de base de données principaux. Cet incident a rendu GitLab.com indisponible pendant de nombreuses heures. Ils ont également perdu des données de production qu’ils n’ont pas pu récupérer. Plus précisément, ils ont perdu des modifications de la base de données et des données, telles que des projets, des commentaires, des comptes d’utilisateurs, des problèmes et des extraits.
De plus, selon TechMonitor, en juin 2020, il y a eu une panne majeure du service Github qui a duré des heures et a touché des millions de développeurs.
Ce genre de panne peut impacter la productivité des développeurs, en particulier s’ils se produisent pendant les fenêtres de lancement cruciales.
Pensez à votre entreprise :
- Combien de temps pourrez-vous travailler sans accès à vos données GitHub ?
- Combien une telle panne coûtera-t-elle à votre entreprise ?
- Êtes-vous en mesure de vous le permettre ?
It’s better to prevent such situations and invest in reliable third-party backup software to quickly recover data and get back to code and work. GitHub downtime is only the tip of the iceberg.
3. Erreurs Humaines
L’une des questions les plus courantes concernant les incidents de cybersécurité en général est l’erreur humaine/erreur, les écrasements de tête, la suppression accidentelle de branches, ou même la suppression intentionnelle effectuée par le salarié frustré (ou l’ancien travailleur, qui a toujours accès au dépôt)—sont quelques-unes des raisons les plus courantes de perte de données. Nous devons également garder à l’esprit que les développeurs ont tendance à avoir un compte GitHub qu’ils utilisent à la fois à des fins personnelles et professionnelles, parfois en mélangeant les dépôts. Par conséquent, il est crucial de surveiller cela.
4. Rançongiciel
Le rançongiciel reste l’une des menaces les plus coûteuses pour les entreprises de tous les temps. Il se produit toutes les onze secondes et il est prévu qu’à la fin de 2021, il engendrera des pertes mondiales de 20 milliards de dollars (contre 325 millions en 2015).
En 2019, Bleeping Computer a rapporté que les attaquants ciblaient les utilisateurs de GitHub, GitLab et Bitbucket, effaçant le code et les commits de plusieurs dépôts et ne laissant derrière qu’une note de rançon et beaucoup de questions.
Les arrêts de travail causés par une attaque de rançongiciel durent généralement plusieurs jours. Ensuite, une entreprise a besoin de semaines pour restaurer tous les systèmes, et sans logiciel de sauvegarde fiable, ces tentatives échouent généralement. Vous ne pouvez pas croire que payer une rançon vous donnera une garantie à 100% de récupérer vos données. En ce qui concerne le système de contrôle de version, la perte d’accès aux données qui restent cryptées peut également causer des arrêts de travail. À moins que vous n’ayez votre sauvegarde Git et que vous puissiez récupérer les données n’importe où, à partir de n’importe quel point dans le temps, et reprendre le travail immédiatement. Et surtout, ne perdez pas vos données du tout.
5. Erreurs matérielles et logicielles
Non seulement les erreurs humaines ou les attaques de hackers peuvent conduire à la perte d’accès à vos données, mais elles peuvent également être influencées par de nombreuses sortes d’échecs matériels et logiciels. C’est particulièrement dangereux lorsque vos développeurs travaillent sur un référentiel git local.
En ajoutant des problèmes de synchronisation, de sauvegarde des référentiels et de téléchargement, vous pouvez voir l’ensemble des problèmes qui peuvent ralentir, repousser ou désactiver le processus de développement et exposer votre entreprise à une perte financière.
6. Conformité en matière de sécurité
Juste quelques mots : SOC2 et ISO 27001. Pourquoi ces normes sont-elles si désirables ? Parce qu’une fois qu’une entreprise a terminé son audit SOC2 ou ISO 27K, elle se positionne comme un service sécurisé, fiable et digne de confiance qui peut garantir la sécurité, la disponibilité, la confidentialité, la confidentialité et l’intégrité du traitement. Ces normes de sécurité permettent-elles à l’entreprise de se démarquer des concurrents ? Certainement !
Bien que l’un des exigences pour réussir l’audit et obtenir un statut de service sécurisé soit la sauvegarde. Elle se démarque en tant que garantie que les données sont récupérables à partir de n’importe quel point dans le temps et qu’il n’y a aucune menace pour la continuité des activités de l’entreprise.
Conclusion
Comme vous pouvez le constater, GitHub, Bitbucket et GitLab en tant que services d’hébergement se sont avérés être des solutions assez fiables, mais ne sont pas à l’abri de tout risque. C’est pourquoi, par exemple, GitHub recommande d’avoir un logiciel de sauvegarde tiers supplémentaire.
Note: le enjeu ici est votre code source, projets, propriété intellectuelle (IP), heures de travail et milliers d’argent, donc un logiciel de sauvegarde professionnel semble être un petit investissement pour la tranquillité d’esprit qu’il procure.
Source:
https://dzone.com/articles/why-you-should-backup-github-gitlab-or-bitbucket