Sécurité de la chaîne d'approvisionnement logicielle
trait de séparation
Temps de lecture : 6 minutes
Pourquoi les mesures de cybersécurité traditionnelles ne suffisent-elles pas à assurer la sécurité de la chaîne d’approvisionnement logicielle ?
Les attaques contre la chaîne d’approvisionnement peuvent prendre plusieurs mois avant d’aboutir et passent souvent inaperçues pendant des périodes prolongées. À l’instar des attaques Advanced Persistent Threat (APT), les attaques contre la chaîne d’approvisionnement sont souvent à la fois ciblées et hautement sophistiquées.
Même avec d’excellentes défenses de cybersécurité traditionnelles, les organisations peuvent être vulnérables aux attaques de la chaîne d’approvisionnement. En fait, les attaques contre la chaîne d’approvisionnement pourraient être en augmentation parce que de nombreuses organisations ont renforcé leur sécurité traditionnelle, laissant aux attaquants moins de moyens à portée de main pour s’attaquer. Alors que certaines solutions de sécurité, telles que l'analyse de la composition logicielle (SCA), évaluent le risque des logiciels tiers, la plupart des approches de cybersécurité traditionnelles font implicitement confiance aux éléments déjà inclus dans un produit ou un service. Une organisation peut utiliser des pare-feu et des technologies de sécurité des points finaux de pointe, mais ces technologies, ou toute autre partie de l'infrastructure de l'organisation, peuvent toujours être compromises par une attaque de la chaîne d'approvisionnement.
Un rapport de l'Agence de l'Union européenne pour la cybersécurité (ENISA) a montré que dans environ 66 % des attaques signalées dans la chaîne d'approvisionnement, l'attaquant a utilisé le code du fournisseur pour compromettre les clients du fournisseur. Compte tenu de l’augmentation des packages malveillants dans les registres de packages open source, les logiciels open source constituent un autre domaine de risque particulier. Les organisations doivent veiller à ce que tous les logiciels tiers soient exempts de falsification avant de les utiliser.
Une autre conclusion importante de l'ENISA est que dans plus de la moitié des attaques de chaîne d'approvisionnement analysées, les fournisseurs ne savaient pas ou n'ont pas divulgué comment les attaques s'étaient réellement produites. Toutefois, 89 % des organisations clientes interrogées savaient comment les attaques contre leur infrastructure se produisaient. Cela suggère un écart de maturité dans le reporting des incidents de sécurité entre les fournisseurs et leurs entreprises clientes.
Même avec d’excellentes défenses de cybersécurité traditionnelles, les organisations peuvent être vulnérables aux attaques de la chaîne d’approvisionnement. En fait, les attaques contre la chaîne d’approvisionnement pourraient être en augmentation parce que de nombreuses organisations ont renforcé leur sécurité traditionnelle, laissant aux attaquants moins de moyens à portée de main pour s’attaquer. Alors que certaines solutions de sécurité, telles que l'analyse de la composition logicielle (SCA), évaluent le risque des logiciels tiers, la plupart des approches de cybersécurité traditionnelles font implicitement confiance aux éléments déjà inclus dans un produit ou un service. Une organisation peut utiliser des pare-feu et des technologies de sécurité des points finaux de pointe, mais ces technologies, ou toute autre partie de l'infrastructure de l'organisation, peuvent toujours être compromises par une attaque de la chaîne d'approvisionnement.
Un rapport de l'Agence de l'Union européenne pour la cybersécurité (ENISA) a montré que dans environ 66 % des attaques signalées dans la chaîne d'approvisionnement, l'attaquant a utilisé le code du fournisseur pour compromettre les clients du fournisseur. Compte tenu de l’augmentation des packages malveillants dans les registres de packages open source, les logiciels open source constituent un autre domaine de risque particulier. Les organisations doivent veiller à ce que tous les logiciels tiers soient exempts de falsification avant de les utiliser.
Une autre conclusion importante de l'ENISA est que dans plus de la moitié des attaques de chaîne d'approvisionnement analysées, les fournisseurs ne savaient pas ou n'ont pas divulgué comment les attaques s'étaient réellement produites. Toutefois, 89 % des organisations clientes interrogées savaient comment les attaques contre leur infrastructure se produisaient. Cela suggère un écart de maturité dans le reporting des incidents de sécurité entre les fournisseurs et leurs entreprises clientes.
Quatre bonnes pratiques pour sécuriser la supply chain logicielle
Les bonnes pratiques suivantes peuvent vous aider à préparer votre organisation à la prochaine attaque de la chaîne logistique.
Répondre rapidement aux vulnérabilités
L’identification et la correction rapides des vulnérabilités des composants tiers devraient constituer votre principale stratégie pour prévenir les attaques de la chaîne d’approvisionnement. Alors que certaines attaques de la chaîne logistique exploitent des vulnérabilités inconnues (zéro jour), nombre d’entre elles exploitent des vulnérabilités connues. Les organisations doivent générer une nomenclature logicielle (SBOM) pour inventorier leurs logiciels tiers, identifier les composants présentant des vulnérabilités connues et appliquer les mises à jour et les correctifs appropriés le plus rapidement possible.
Maintenir une visibilité approfondie de la chaîne d’approvisionnement
Cela ne sert à rien de savoir que vous avez quelque chose si vous ne le trouvez pas. Les organisations doivent savoir où les composants sont utilisés dans leur portefeuille de logiciels et comment ces composants sont connectés aux systèmes et au code source. Lorsqu'une vulnérabilité est découverte, les développeurs doivent savoir exactement où le composant vulnérable est utilisé dans plusieurs projets logiciels afin de le corriger ou de le supprimer efficacement.
Signaler les composants potentiellement vulnérables
Alors qu'ils s'empressent de terminer leurs projets et de respecter les délais, les développeurs recherchent continuellement de nouveaux composants logiciels susceptibles de contenir des vulnérabilités. Il est conseillé aux organisations de déplacer la sécurité de la chaîne d'approvisionnement vers la gauche pour garantir que les développeurs disposent des connaissances, du support et des outils nécessaires pour éviter de sélectionner des composants vulnérables ou non sécurisés au début du cycle de vie du développement logiciel.
Une fois qu'un composant potentiellement vulnérable est découvert, il doit être signalé pour garantir que toutes les équipes de développement en sont conscientes. Avec les bons outils, il est possible de configurer les composants signalés ou les analyses de vulnérabilité défaillantes pour « interrompre la construction », empêchant automatiquement le déploiement de ces composants en production, un élément indispensable pour les pipelines d'intégration et de livraison continue.
Surveiller en permanence les composants
Un composant qui est identifié comme sûr aujourd’hui peut ne pas le rester à l’avenir. De nouvelles vulnérabilités sont découvertes chaque jour, et les composants peuvent également atteindre leur fin de vie ou leurs contributeurs open source peuvent les abandonner, les laissant sans support. Dans chacune de ces situations, vous devez être en mesure de détecter le changement de statut de risque du composant, de prioriser la gravité du risque et, si nécessaire, de désactiver le composant.
. . . Et une considération supplémentaire importante. N'oubliez pas de vérifier vos fournisseurs
Lorsqu'il s'agit de logiciels tiers, vous n'avez pas toujours l'occasion de parler au responsable, mais si vous effectuez un achat important pour votre entreprise, vous devez absolument interroger votre fournisseur sur ses pratiques de sécurité. Que font-ils pour assurer la sécurité de leurs produits et les empêcher de falsifier ? Quels outils utilisent-ils ? Comment maintiennent-ils la visibilité sur leur propre chaîne d’approvisionnement ?
Répondre rapidement aux vulnérabilités
L’identification et la correction rapides des vulnérabilités des composants tiers devraient constituer votre principale stratégie pour prévenir les attaques de la chaîne d’approvisionnement. Alors que certaines attaques de la chaîne logistique exploitent des vulnérabilités inconnues (zéro jour), nombre d’entre elles exploitent des vulnérabilités connues. Les organisations doivent générer une nomenclature logicielle (SBOM) pour inventorier leurs logiciels tiers, identifier les composants présentant des vulnérabilités connues et appliquer les mises à jour et les correctifs appropriés le plus rapidement possible.
Maintenir une visibilité approfondie de la chaîne d’approvisionnement
Cela ne sert à rien de savoir que vous avez quelque chose si vous ne le trouvez pas. Les organisations doivent savoir où les composants sont utilisés dans leur portefeuille de logiciels et comment ces composants sont connectés aux systèmes et au code source. Lorsqu'une vulnérabilité est découverte, les développeurs doivent savoir exactement où le composant vulnérable est utilisé dans plusieurs projets logiciels afin de le corriger ou de le supprimer efficacement.
Signaler les composants potentiellement vulnérables
Alors qu'ils s'empressent de terminer leurs projets et de respecter les délais, les développeurs recherchent continuellement de nouveaux composants logiciels susceptibles de contenir des vulnérabilités. Il est conseillé aux organisations de déplacer la sécurité de la chaîne d'approvisionnement vers la gauche pour garantir que les développeurs disposent des connaissances, du support et des outils nécessaires pour éviter de sélectionner des composants vulnérables ou non sécurisés au début du cycle de vie du développement logiciel.
Une fois qu'un composant potentiellement vulnérable est découvert, il doit être signalé pour garantir que toutes les équipes de développement en sont conscientes. Avec les bons outils, il est possible de configurer les composants signalés ou les analyses de vulnérabilité défaillantes pour « interrompre la construction », empêchant automatiquement le déploiement de ces composants en production, un élément indispensable pour les pipelines d'intégration et de livraison continue.
Surveiller en permanence les composants
Un composant qui est identifié comme sûr aujourd’hui peut ne pas le rester à l’avenir. De nouvelles vulnérabilités sont découvertes chaque jour, et les composants peuvent également atteindre leur fin de vie ou leurs contributeurs open source peuvent les abandonner, les laissant sans support. Dans chacune de ces situations, vous devez être en mesure de détecter le changement de statut de risque du composant, de prioriser la gravité du risque et, si nécessaire, de désactiver le composant.
. . . Et une considération supplémentaire importante. N'oubliez pas de vérifier vos fournisseurs
Lorsqu'il s'agit de logiciels tiers, vous n'avez pas toujours l'occasion de parler au responsable, mais si vous effectuez un achat important pour votre entreprise, vous devez absolument interroger votre fournisseur sur ses pratiques de sécurité. Que font-ils pour assurer la sécurité de leurs produits et les empêcher de falsifier ? Quels outils utilisent-ils ? Comment maintiennent-ils la visibilité sur leur propre chaîne d’approvisionnement ?
Ces articles peuvent vous intéresser
SBOM : prenez de meilleures décisions en matière de sécurité logiciel
Téléchargez ce livre blanc proposé par GrammaTech qui vous guidera dans l'utilisation d'une SBOM (Software Bill Of Material) !
SBOM : Réduire les risques Open Source tout au long du développement logiciel
Comment l’utilisation des SBOM (Software Bill of Matérial – Inventaire logiciel) peut devenir un des piliers pour l’amélioration de la sécurité de vos logiciels tout au long du cycle de vie de son développement.
Gestion des risques liés à la SBOM dans les dispositifs médicaux
Gestion des risques liés à la chaîne d'approvisionnement logicielle dans les dispositifs médicaux.