Cybersécurité : secured by design, un enjeu majeur pour protéger les logiciels de supervision
Plus de 1 milliard d'euros seront investis par l'Etat français dans la cybersécurité. Une annonce qui fait écho à l'urgence. Ces derniers mois, pas une semaine ne se passe sans que l'attaque d'un hôpital français ou les bases de données d'une entreprise ne fassent l'actualité. Ce fût récemment le cas de l'hôpital de Dax ou encore de celui de Villefranche-sur-Saône en février.
Les logiciels de supervision des systèmes d’information, parmi les cibles évoquées, sont pour les hackers des cibles de choix. Il est temps de redonner l’avantage à la défense : sécuriser les systèmes dès leur conception, systématiser les tests de cyber attaques, mettre au point des labels de sécurité des logiciels.
L’open source, une formidable opportunité qui présente aussi des risques
En matière de cyberattaque, la situation française reste préoccupante et nombre d’entreprises ou institutions publiques restent insuffisamment protégées et préparées à des attaques d’une telle envergure. L’année 2020 a vu augmenter de 430% les cyberattaques de nouvelle génération visant à infiltrer des composants[1] open source. Tous les logiciels sont vulnérables dans une certaine mesure, et l’open source est loin d’être épargné par les questions de sécurité en offrant un moyen, plus aisé, de s’introduire à l’échelle dans l’environnement logiciel. Formidables vecteurs d’innovation et permettant souplesse et agilité dans les usages, les logiciels open source représentent aussi des risques.
Ils sont en effet plus susceptibles d’être attaqués, et ce pour plusieurs raisons. La première découle de la nature même de l’open source qui s’appuie sur la contribution de milliers de volontaires, rendant difficile la détection des bonnes ou mauvaises intentions au sein même de cette communauté. Ensuite, les projets intègrent des centaines, voire plus, de dépendances avec d’autres projets open source pouvant contenir des vulnérabilités et rendent ainsi la détection de logiciel malveillant presque impossible. Il existe néanmoins des solutions pour permettre aux entreprises de mieux contrôler leur architecture et de se prémunir efficacement de tout acte malveillant.
Secured by design, redonner l’avantage à la défense
Le concept de Security by design dans le développement applicatif a pour but d’intégrer la sécurité dès la phase de conception, en évaluant les risques et contrôles à mettre en place. L’objectif : l’amélioration continue des processus pour répondre aux exigences liées aux usages. Dans une approche Secured by design, plusieurs éléments fondateurs doivent être pris en compte dans la conception même du système.
Le premier principe consiste tout d’abord à minimiser la surface d’attaque, en restreignant l’accès aux utilisateurs à certaines zones afin de réduire les points d’entrée potentiels. Un système d’information disposant d’une surface d’attaque étendue sera plus vulnérable aux attaques, les moyens de filtrage et de contrôle étant plus complexes à mettre en place et à organiser.
Le second correspond au principe du moindre privilège, qui s’étend au-delà de la simple restriction d’accès au personne et peut s’appliquer aux applications, aux systèmes ou aux systèmes connectés qui requièrent des privilèges ou des permissions afin d’effectuer une tâche requise. Le principe du moindre privilège garantit que l’outil non humain dispose uniquement de l’accès strictement nécessaire pour réaliser sa tâche, ce qui limite encore la surface d’attaque et permet de stopper la progression d’un logiciel malveillant.
Le troisième principe fondamental, la défense en profondeur, consiste à exploiter plusieurs techniques de sécurité afin de réduire le risque lors d’une intrusion en opposant plusieurs lignes de défense coordonnées et indépendantes les unes des autres.
La prise en compte de la sécurité dès la conception permet d’intégrer le risque et d’augmenter la sécurité d’un système mais ne saurait garantir l’imperméabilité totale aux attaques et aux intrusions. Au-delà de la phase de conception, la sécurité doit être prise en compte tout au long du cycle de vie du produit.
Pentest, une arme de choix dans la cyberguerre
60% des cyberattaques exploitent soit des données d’identification volées, soit des vulnérabilités logicielles connues[2]. Par conviction ou par nécessité, de nombreuses organisations ont d’ores et déjà revu ou transformé leur approche cyber. Cependant, nombre d’entre-elles se montrent encore réticentes à l’utilisation des pentest (Test de pénétration) par manque d’expérience ou de moyens. Seuls les pentest plus poussés, de type whitebox (en boîte blanche), bien que peu utilisés car complexes à mettre en place, permettent de tester véritablement le niveau de sécurité des SI en le poussant dans ses retranchements. Mais en cas de résultats négatifs à l’issue du pentest, que faire des serveurs ou des applications vulnérables ?
Au vu de l’évolution des cyberattaques, tant en nombre qu’en intensité, il apparait pourtant crucial d’adopter une approche proactive pour ne pas se laisser déborder ou dépasser. Il est désormais fondamental d’adopter des tests de sécurité en continu et d’en faire une partie intégrante du cycle de développement logiciel de l’entreprise.
Si les pentests représentent un investissement durable et fournissent une protection en continu, il est également nécessaire d’instaurer une culture de la sécurité et d’adopter une approche horizontale de la cybersécurité en y intégrant tous les membres de l’entreprise.
Face aux risques et à l’augmentation du nombre d’attaques, c’est l’industrie « cyber » tout entière qui doit agir. L'adoption d'un label secured by design et tamper-proof (à l'épreuve des manipulations) mettant l'accent sur la sécurité des logiciels aiderait non seulement les entreprises à améliorer la sécurité de leurs propres logiciels, mais leur donnerait également une indication sur la sécurité de l'architecture logicielle qu'elles souhaitent intégrer dans leur système d'information.
[1] State of the Software Supply Chain, Sonatype, 2020
[2] Rapport X-Force Threat Intelligence Index 2020, IBM