Course à la sécurisation des chaînes d'approvisionnement logicielles : comment éviter d'avoir un train de retard ?
Il n'est jamais trop tard pour commencer à sécuriser sa chaîne d'approvisionnement logicielle, même après un faux départ.
Le monde numérique est de plus en plus complexe et interconnecté, et les chaînes d’approvisionnement logicielles en sont la parfaite illustration. La capacité à s’appuyer sur d’autres composants logiciels permet d’innover plus rapidement et de créer de meilleurs produits et services. Mais la dépendance aux logiciels tiers et l'open source augmentent la complexité des processus de sécurisation des infrastructures numériques.
Selon une récente enquête auprès de professionnels de la cybersécurité à travers le monde, un tiers des entreprises surveille moins de 75 % de leur surface d'attaque, et près de 20 % pensent que plus de la moitié de leur surface d'attaque est inconnue ou non observable. Log4Shell, Kaseya et SolarWinds ont largement démontré les conséquences de ces failles…
La sécurité des chaînes d’approvisionnement logicielles est l’affaire de tous
N’importe quelle entreprise utilisant un fournisseur de logiciels tiers peut se retrouver victime d’une cyberattaque. L'Agence de l'Union Européenne pour la cybersécurité (ENISA) a analysé 24 attaques récentes sur des chaînes d’approvisionnement logicielles, concluant que ce type d’attaques devrait continuer à augmenter dans les prochains mois.
A l’instar des fournisseurs de logiciels tiers, mais à une plus grande échelle, les codes open source mal sécurisés peuvent avoir un impact dévastateur, car ils sont à la base de presque toutes les infrastructures numériques modernes et de toutes les chaînes d’approvisionnement logicielles. A titre d’exemple, une application standard s’appuie en moyenne sur plus de 500 composants open source ! Ce qui donne une petite idée des ressources à déployer pour sécuriser une application…
Comment sécuriser sa chaîne d’approvisionnement logicielle ?
La première étape consiste à mesurer son déficit de résistance aux attaques, c'est-à-dire l’écart entre ce qu’une organisation doit protéger et ce qu’elle est réellement capable de protéger.
L’approche SBOM (Software Bill of Materials) consiste à maintenir un inventaire précis des licences logicielles de l’entreprise afin d’identifier quels fournisseurs, programmes et réseaux pourraient représenter un danger. Les composants logiciels open source sont particulièrement difficiles à documenter. La Fondation Linux et l'Organisation internationale de normalisation (ISO) proposent de nombreuses ressources pour aider les organisations à faire cet inventaire.
Il est important de comprendre de quels logiciels dépendent ses processus critiques. Grâce à cette connaissance, les équipes de sécurité pourront établir des priorités et comprendre quels éléments de l'entreprise seront mis en danger, en fonction du fournisseur ou du composant vulnérable.
Il est également essentiel d’intégrer la sécurité dès les premiers stades du développement logiciel. Connue sous le nom de "shifting left”, cette approche sensibilise les développeurs aux standards de sécurité, de sorte que les équipes de sécurité et de développement collaborent pour créer des produits plus sécurisés.
Chaque fournisseur logiciel devrait être évalué en fonction de sa capacité de réponse aux incidents. La transparence au sein de l’entreprise, et notamment au sein de la chaîne d’approvisionnement, est une clé de la réussite.
Selon la loi de Murphy, « Tout ce qui est susceptible de mal tourner, tournera mal, et au pire moment ». Un adage auquel de nombreux professionnels de la cybersécurité croient ! Face à l'augmentation inévitable des risques et de la complexité de la sécurisation des actifs numériques, il est donc important de rester dans une dynamique proactive en matière de sécurité.