Ces dernières années, les cyberattaques ont évolué au même rythme que nos défenses (ce qui n'étonne absolument personne). Les pirates recherchent et trouvent des moyens nouveaux et innovants de compromettre les actifs et les données, qu'il s'agisse d'attaques visant les utilisateurs finaux, comme le vol d'identifiants et les logiciels malveillants basés sur les navigateurs, ou d'attaques ciblant le cloud et exploitant les API et les services natifs du cloud.
Malheureusement, les cybercriminels ont également découvert comment nous compromettre par le biais des logiciels, qui constituent sans aucun doute le maillon faible de nombreux environnements d'entreprise. Soyons réalistes : une grande partie des grandes entreprises ne disposent pas d'un inventaire précis et à jour de leurs logiciels, et nous savons souvent très peu de choses sur les développeurs qui créent, conditionnent et nous fournissent ces logiciels.
Ce n'est pas parce que nous achetons des logiciels auprès de grands fournisseurs renommés que les pirates informatiques n'ont pas infiltré leurs environnements et distribué des logiciels malveillants à l'insu des éditeurs. Ce problème est encore plus grave dans le cas des petites entreprises et des start-ups, qu'il s'agisse de logiciels packagés, de SaaS ou de fournisseurs open source., ou d'autres services cloud, en raison de leur manque de ressources dédiées à la sécurité logicielle.
En bref, la chaîne logistique des logiciels est un véritable chaos.
Exemples d'attaques visant la chaîne logistique des logiciels
Si vous mentionnez« SolarWinds »à n'importe quel professionnel de la sécurité informatique, vous obtiendrez probablement un signe de tête négatif et un froncement de sourcils. Oui, c'était à ce point-là. Ils ont été piratés, ils ont livré, nous avons été piratés, et voilà le résultat : une chaîne logistique de distribution de logiciels malveillants très élégante, à son meilleur.
Nous avons constaté l'impact dévastateur de la vulnérabilité Log4j dans les environnements de développement, et désormais, les pirates chargent des paquets et des contenus compromis dans les référentiels de paquets. Plus récemment, et contrairement aux incidents Solar Winds, Log4j ou Codecov, nous avons constaté la vulnérabilité XZ Utils, dans laquelle un pirate a utilisé l'ingénierie sociale pour s'introduire dans la porte dérobée de l'utilitaire de compression de données open source largement utilisé dans les systèmes Linux.
Les violations par des tiers ne ralentiront pas non plus. Du moins jusqu'à ce que nous commencions à mieux comprendre à qui nous achetons nos logiciels, où ils se trouvent dans nos environnements, quels privilèges ils ont, à quoi ils ont accès et, surtout, si nous pouvons leur faire confiance.
Atténuer les attaques visant la chaîne logistique des logiciels
De grands efforts sont actuellement déployés par le secteur pour renforcer la sécurité de la chaîne logistique des logiciels. De nombreux acteurs du secteur de la sécurité informatique et des logiciels, ainsi que l'ensemble de la communauté de gestion des risques, ont recommandé aux organisations de publier et de tenir à jour une nomenclature logicielle (SBOM) pouvant être communiquée aux clients sur demande. Une SBOM est une liste structurée de composants, de bibliothèques et de modules nécessaires à la création d'un logiciel. Les SBOM fournissent des informations beaucoup plus détaillées sur les vulnérabilités potentielles du logiciel lui-même en énumérant ses composants.
Certains éditeurs de logiciels ont résisté à la création de SBOM, probablement parce qu'ils considèrent qu'ils divulguent ainsi des informations sensibles relevant de la propriété intellectuelle. Cependant, nous savons tous que tout le monde utilise des logiciels open source partout. Une SBOM n'est pas un code source, mais une liste des paquets et composants utilisés pour créer un logiciel, dont beaucoup sont très vulnérables aux attaques au fil des ans. Le gouvernement américain encourage la création de SBOM, qui pourraient facilement devenir un élément clé de la surveillance et du reporting en matière de gestion des risques tiers dans un avenir proche.
D'autres domaines prioritaires dans le secteur comprennent la création de workflows d'attaque de la chaîne logistique logicielle tels que MITRE ATT&CK, un mécanisme universel de signalement des vulnérabilités et une syntaxe pour les bogues logiciels.
Quatre bonnes pratiques pour atténuer les risques liés aux incidents de sécurité dans la chaîne logistique des logiciels
Cette dernière vulnérabilité rappelle aux entreprises qu'elles doivent disposer d'un plan d'intervention en cas d'incident impliquant des tiers afin de déterminer rapidement l'impact des compromissions de la chaîne logistique logicielle sur leurs fournisseurs tiers. Voici quatre bonnes pratiques à prendre en considération :
1. Établir un inventaire centralisé de tous les fournisseurs.
Cela vous permettra de classer et de profiler vos fournisseurs en fonction de la criticité des services fournis et de quantifier la probabilité et l'impact d'une violation. Un profilage et un classement précis vous permettent également d'adapter votre diligence raisonnable en fonction du niveau du fournisseur. Les fournisseurs de haut niveau (par exemple, ceux dont la défaillance a créé un problème opérationnel pour votre entreprise) bénéficient de la plus grande attention.
2. Identifiez les fournisseurs qui utilisent la technologie concernée.
La collecte des technologies tierces déployées dans votre écosystème de fournisseurs lors du processus d'inventaire permet d'identifier les relations entre votre organisation et les tiers en fonction de l'utilisation de certaines technologies. Cela vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures proactives pour les atténuer. Vous pouvez y parvenir grâce à une évaluation ciblée ou à un scan passif.
3. Évaluer la résilience commerciale et les plans de continuité des activités des tiers.
Impliquez de manière proactive les fournisseurs grâce à des évaluations simples et ciblées, conformes aux normes de sécurité reconnues dans le secteur de la chaîne d'approvisionnement, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les failles de sécurité potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de correction et combler rapidement ces failles.
4. Surveillez en permanence les fournisseurs et les prestataires afin d'assurer la visibilité, notamment en ce qui concerne la posture cybernétique, les informations négatives et les cyberattaques.
Être constamment vigilant face à une prochaine attaque signifie rechercher les signes avant-coureurs d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages onion, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, les communautés de sécurité, les référentiels de code et les bases de données sur les vulnérabilités et les piratages/violations. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations dans une seule solution, afin que tous les risques soient centralisés et visibles pour l'entreprise.
Obtenez davantage de conseils pour protéger votre chaîne logistique logicielle
Je me suis associé à Prevalent pour organiser un webinaire sur les meilleures pratiques en matière de sécurité de la chaîne logistique des logiciels, qui examine comment une stratégie mature de gestion des risques liés aux tiers peut vous aider à maîtriser les attaques contre vos fournisseurs informatiques. Regardez ci-dessous « Comment évaluer la cybersécurité de vos fournisseurs de logiciels ».
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
