Nous assistons depuis plusieurs années à une multiplication des attaques informatiques, qui touchent maintenant tout le monde, particuliers, entreprises et jusqu’aux organismes d'État.
D’après les études de CheckPoint et IBM, en 2023, ce ne sont pas moins de 60 000 tentatives d’attaques dans le monde et leur coût estimé dépasse les 8 000 Milliards de $.
L'ANSSI décrit 3 typologies de menace :
Tout le monde devient une cible potentielle, quelle que soit sa taille ou son domaine d’activité, car les personnes susceptibles de vous nuire ne recherchent pas forcément des gains financiers ou technologiques, une victoire d’image peut leur suffire.
La sécurité informatique est devenue une discipline à part entière, avec des équipes spécialisées dans la prévention des attaques, la détection d’intrusion et la mise en place de mécanique de remédiation rapides.
Il existe une attaque moins connue, mais tout aussi dangereuse, qui s’appelle attaque sur la chaîne d'approvisionnement (Supply Chain Attack).
Une attaque sur la chaîne d'approvisionnement, c’est une manière détournée d’introduire des contenus dangereux au sein d’un système d’information en les faisant passer pour des contenus sains. Ces contenus peuvent provenir de partenaires, vendeurs ou tierces parties.
Il existe un domaine dans lequel la consommation de contenus externes est très importante et en pleine expansion. Avec l'avènement de l'Open Source, il est désormais courant d'intégrer des composants développés par des tiers dans ses propres solutions.
Ces composants tiers seront ensuite utilisés sur les postes de travail, dans les usines logicielles et en production, chez vous ou chez vos clients.
L’usine logicielle devient ainsi une cible de choix pour les attaques sur la chaîne d'approvisionnement puisque la charge malicieuse pourra ainsi être exécutée très largement et répandue sur l’ensemble des environnements qu’elle va alimenter, du développement à la production.
La récente tentative d’attaque XZ a été un rappel fort que le risque était réel, orchestré par des acteurs avec des compétences larges, tant sur le contenu technique que sur l'ingénierie sociale, pouvant s’attaquer aux personnes en charge d’un projet. Cette fois-ci, nous avons eu de la chance, collectivement, que cette tentative ait été détectée en avance de phase, il n’est pas irréaliste de penser que certaines ont déjà silencieusement réussi et que bien d’autres suivront.
En Mai 2021, pour réduire les risques de Supply Chain Attack, les États-Unis ont lancé une initiative majeure en termes de cybersécurité afin d’augmenter le niveau d’exigence sur la production logicielle avec un effort particulier sur l’inventaire des contenus.
Ces obligations concernent dans un premier temps les fournisseurs de l’administration américaine, il y a fort à parier que la pratique sera reprise ailleurs.
Coté Européen, depuis 2018 et la directive NIS (2018/151), la commission demande aux fournisseurs de services numériques d’avoir une attention toute particulière sur la chaîne d’approvisionnement, avec le même souci de traçabilité.
Le risque est réel et il est accru dès lors que vous avez une usine logicielle, ce qu’on retrouve chez tous les éditeurs logiciels et les hébergeurs.
Les coûts financiers et d’image peuvent être sérieux pour vous ou vos clients notamment par l’obligation déclarative à l'ANSSI (impacts significatifs).
De plus, les mesures mises en place pour se prémunir de ces risques sont maintenant attendues pour les certifications ISO, HDS ou SecNumCloud, à des niveaux plus ou moins élevés.
Le facteur humain étant responsable de 80% des cyberattaques, outre l’outillage, il est capital de mettre en place des formations et processus qui permettent de s’en prémunir.
Dans cette série d'articles, nous regarderons comment protéger l’usine logicielle d’une Supply Chain Attack avec des mesures du ressort de l’ensemble des acteurs travaillant sur la Supply Chain, les équipes de développement, CI/CD et DevOps notamment.