La menace d’attaques de la chaîne d’approvisionnement logicielle est bien connue depuis des années, mais les gouvernements et les entreprises continuent de rattraper leur retard. En raison de la transformation de la vie numérique suite à la pandémie, les cybermenaces augmentent et les entreprises doivent faire plus pour se protéger de telles attaques.
L’une des raisons pour lesquelles les attaques de la chaîne d’approvisionnement logicielle sont si puissantes est qu’elles sont si variées en termes de cibles, de méthodes et d’impacts. À un niveau de base, les attaques de la chaîne d’approvisionnement logicielle impliquent l’introduction d’un logiciel malveillant ou même d’un composant malveillant dans un logiciel ou un matériel de confiance. Avec une seule intrusion bien placée, les attaques peuvent se répercuter sur le réseau de clients d’un fournisseur, faisant parfois des milliers de victimes.
A propos de l’auteur
Nick Caley est vice-président de ForgeRock pour le Royaume-Uni et l’Irlande.
Des attaques majeures comme SolarWinds et Keseya ont révélé à quel point les organisations d’aujourd’hui dépendent de fournisseurs de logiciels tiers, forçant la question à figurer à l’ordre du jour des conseils d’administration et du gouvernement.
Mais en fait-on assez ? Une enquête réalisée en 2021 par le ministère britannique de la Culture, des Médias et des Sports a révélé que seulement 12% des entreprises ont examiné les risques de cybersécurité posés par les fournisseurs. Le gouvernement britannique n’a lancé que récemment un processus visant à élaborer un ensemble de normes de sécurité minimales pour les fournisseurs tiers impliqués dans le processus de passation des marchés publics, de sorte que les directives officielles ne seront pas disponibles avant un certain temps.
Avec l’augmentation des attaques, protéger les entreprises contre le fléau des attaques de la chaîne d’approvisionnement logicielle n’est pas seulement un impératif commercial : il est essentiel de contribuer à protéger l’économie au sens large des effets d’entraînement. Alors, que peuvent faire les entreprises pour se préparer aujourd’hui ?
Sommaire
Rationaliser la chaîne d’approvisionnement des logiciels
Une enquête Gartner de 2019 a révélé que 60% des organisations travaillent avec plus d’un millier de fournisseurs de logiciels tiers et beaucoup s’attendent à ce que ce nombre augmente. Les chaînes d’approvisionnement numériques d’aujourd’hui sont sans précédent par leur ampleur et leur interconnexion.
Afin de minimiser le risque d’attaques de la chaîne d’approvisionnement, les entreprises devraient donc viser à réduire leur périmètre d’exposition, principalement en réduisant le nombre de fournisseurs externes avec lesquels elles travaillent. Comme Toyota le fait avec sa chaîne d’approvisionnement en matériel, l’accent devrait être mis sur un nombre réduit de fournisseurs avec lesquels une relation de confiance et de compréhension profonde est établie. Travailler avec moins de fournisseurs permet à une entreprise de concentrer ses efforts de sécurité et de conformité, et de travailler de manière plus proactive avec des tiers de confiance à toutes les étapes de la relation.
L’accent peut alors être mis sur les efforts de surveillance continus au lieu de s’appuyer sur une approche plus précise dans le temps, centrée uniquement sur la diligence raisonnable initiale ou la recertification sur toute la ligne. Travailler avec moins de fournisseurs permet de revoir plus régulièrement la sécurité de la chaîne d’approvisionnement pour s’adapter aux menaces entrantes et évolutives.
Sécurisation des accès et des droits au sein des organisations
La pandémie a soulevé une multitude de défis en matière de cybersécurité et les solutions de gouvernance des identités héritées des organisations, qui gèrent manuellement l’accès des utilisateurs et surveillent les privilèges d’accès, sont mises à rude épreuve sous la pression. Il s’agit d’un contexte dangereux dans lequel lancer le défi des chaînes d’approvisionnement logicielles tentaculaires – et donc exposées -, ce qui rend de plus en plus difficile pour les équipes de cybersécurité de s’assurer que la bonne personne a accès aux bonnes applications au bon moment.
Le résultat est que les organisations ne savent pas qui a accès à quoi et, plus important encore, pourquoi elles y ont accès. Le Consumer Identity Breach Report de ForgeRock a révélé que 43 % des violations de données aux États-Unis sont causées par un accès non autorisé.
La gestion manuelle du cycle de vie des identités de bout en bout et des demandes d’accès dans les chaînes d’approvisionnement numériques en pleine croissance est coûteuse, comporte de nombreux risques et crée d’importants problèmes de conformité. Les nouveaux travailleurs, fournisseurs et partenaires rejoignant l’écosystème croissant de la chaîne d’approvisionnement numérique peuvent être facilement surprovisionnés, créant ainsi un risque de « glissement des droits ». De plus, l’accès pour ceux qui quittent l’écosystème peut ne pas être suffisamment déprovisionné. Cette évaluation des droits d’accès est à la fois une demande dynamique et continue qui, si elle est laissée à remplir, à cocher des cases et à tamponner, présente un risque sous-jacent qui expose l’organisation à une violation potentielle.
La possibilité d’utiliser l’IA pour automatiser les approbations d’accès, recommander la certification des comptes à faible risque et automatiser la suppression des rôles inutiles permet aux équipes informatiques, de conformité et de sécurité de se concentrer sur les demandes à haut risque et le surprovisionnement des accès fournisseurs et partenaires. S’attaquer au problème des accès risqués à l’aide de solutions de gouvernance des identités basées sur l’IA rendra finalement plus difficile les attaques de la chaîne d’approvisionnement logicielle.
Mettre en œuvre le développement de logiciels sécurisés par conception
Lorsqu’il s’agit de développer et de distribuer des logiciels tiers, il est essentiel de connaître les bonnes questions à poser aux fournisseurs de logiciels pour garantir que leur sécurité est conforme aux normes les plus élevées. Une approche exigeante et curieuse non seulement sécurisera la propre chaîne d’approvisionnement numérique d’une entreprise, mais renforcera également la confiance dans l’écosystème dans son ensemble, en particulier de la part des responsables gouvernementaux.
Heureusement, le National Institute of Standards and Technology, un organisme de normalisation mondialement reconnu au sein du département américain du Commerce, a publié un cadre largement reconnu établissant un langage commun et un ensemble de directives pour les développeurs, les fournisseurs et les responsables impliqués dans le développement de logiciels, distribution et approvisionnement.
Les conseils suggérés par le NIST visent à garantir que les processus d’une entreprise sont prêts à effectuer un développement logiciel sécurisé à la fois au niveau de l’organisation et pour des projets individuels. Il met également l’accent sur la protection des produits clés contre la falsification et l’accès non autorisé. En outre, renforcer les processus pour identifier les vulnérabilités au fur et à mesure qu’elles surviennent et pour éviter qu’elles ne se reproduisent à l’avenir en mettant en œuvre des améliorations de processus de manière incrémentielle.
La mise en œuvre des conseils du NIST permettra aux entreprises de surveiller la cybersécurité des fournisseurs de logiciels et de renforcer la confiance avec les clients et les partenaires tout au long de la chaîne d’approvisionnement numérique.
Conclusion
Les entreprises devant faire face à une multiplication par quatre des attaques en 2021 (selon l’agence de cybersécurité de l’UE), il est crucial que toutes les entreprises impliquées dans les chaînes d’approvisionnement mondiales en logiciels adoptent une approche tenant compte des risques pour se protéger et protéger la société. Cela peut être fait en rationalisant leurs chaînes d’approvisionnement, en mettant en œuvre un développement logiciel sécurisé par conception et en adoptant une solution moderne de gouvernance des identités basée sur l’IA. Il n’est plus nécessaire de faire un compromis entre la productivité des utilisateurs, l’expérience et des niveaux de sécurité robustes.
La récente réunion de la Maison Blanche convoquée par l’administration Biden pour les PDG de grandes entreprises technologiques américaines afin de discuter du renforcement de la sécurité de la chaîne d’approvisionnement logicielle souligne que cela continuera d’être un problème important pour toutes les parties prenantes dans un avenir prévisible. Les enjeux sont trop élevés pour être ignorés.
