Contactez-nous
-
sécurité

Supply Chain Attack : Que faut-il retenir ?

Supply Chain Attack : Que faut-il retenir ?
Supply Chain Attack : Que faut-il retenir ?
3:55

Sommaire

Au moment de clore cette série d’articles, il convient de faire un résumé des points abordés et de prendre un peu de hauteur.

Les risques d’attaque sur une usine logicielle sont importants, et les tentatives par Supply Chain Attack sont un des vecteurs de choix.

Le risque est réel, mais la bonne nouvelle est qu’il ne faut rien de très complexe pour s’en prémunir.

Pratiquer un état des lieux

La première chose à faire, collectivement, est de se demander quels sont les niveaux de  connaissance sur les risques, de préparation pour y faire face et d’outillage pour s’en prémunir.

  • Les acteurs de l’usine logicielle, Dev, PM, PO, DevOps,  sont-ils prêts ?
    • Y a- t-’il eu une formation sur les risques spécifiques aux usines
    • Les acteurs savent-ils précisément quoi faire en cas de risque identifié
    • Les rôles et responsabilités de chacun sont- elles claires pour tous
  • L’environnement qui héberge l’usine logicielle est- il de qualité production ?
    • Processus de maintien en condition opérationnelle
    • Processus de maintien en condition de sécurité
    • Pratiques autour des backups et restauration des contenus de l’usine
    • Résultats des exercices de PRA/PCA
  • Quels sont les outils en place ?
    • Pour détecter les vulnérabilités
    • Pour isoler l’usine d’internet
    • Pour avoir un inventaire des dépendances directes et indirectes

Bâtir le plan pour être à l’état de l’art

L’état des lieux doit vous permettre de savoir d’où vous partez et quelles seront les étapes pour arriver à l’état de l’art, et donc de construire votre roadmap.

Voici les jalons importants et certains sont probablement déjà en place chez vous

  • L’ensemble des acteurs ont été formés aux risques
    • Formation initiale sur les vulnérabilités et vecteurs d’attaques
    • Règles sur la sélection des composants externes

  • L’usine logicielle suit de solides pratiques de production
    • Des backups de chaque service de l’usine
    • Des backups restaurés et contrôlés régulièrement
    • Définition d’un Plan de Reprise d’Activité (PRA)
    • Le PRA est joué régulièrement, idéalement une fois par trimestre, ad minima une fois par an

  • Un gestionnaire d’artefacts est en place, en priorité pour les contenus externes
    • Les contenus externes ne sont plus consommés en direct mais au travers de proxy.

  • L’environnement technique de l’usine logicielle est isolé, notamment d’Internet
    • L’usine logicielle est sanctuarisée, les accès vers l’extérieur connus et maîtrisés
    • Une isolation des environnements de production évitera les contaminations
    • Un inventaire à jour des flux réseaux, entrants et sortants

  • Les pipelines de construction incluent des analyses de vulnérabilité
    • Toute dépendance risquée est bloquée à la construction
    • Les vulnérabilités sont traitées au plus tôt

  • Une cartographie des composants embarqués est disponible pour chaque produit
    • Nous savons de quoi chaque produit est composé
    • Nous pouvons à tout moment savoir quelle version de produit contient quelles vulnérabilités
    • Nous pouvons lever des alertes sur des nouvelles vulnérabilités dans des produits en production

  • Des analyses de vulnérabilité sont mises en place sur l’ensemble des environnements
    • Les vulnérabilités sont détectées dès qu’elles apparaissent
    • L’ensemble des environnements notamment en production

Il est possible de faire les choses petit à petit, l’important est d’initier, puis de suivre le processus.

Certaines actions peuvent être faites en parallèle, la vitesse de mise à l’état de l’art dépendra donc des moyens alloués au projet. 

Conclusion

Avec des équipes formées et sensibilisées, des processus clairs et connus, et des outils simples, il est possible de protéger efficacement son usine logicielle des contenus dangereux.

Comme tout sujet lié à la sécurité, rien n’est acquis et la vigilance de tous reste la meilleure des protections.
Henri Gomez Avatar

Henri Gomez

Dossier

DÉCOUVREZ LES ARTICLES LIÉS

(String: sécurité)
  • Scanner les vulnérabilités de son site web
    sécurité

    Scanner les vulnérabilités de son site web

    (String: <h2 id="s-curiser-son-site-site-web-pourquoi">Sécuriser son site site web, pourquoi?</h2> <p>On pourrait se demander pourquoi perdre du temps à faire de la <a href="https://www.wescale.fr/secops" rel="noopener" target="_blank">sécurité sur un site</a> qui n’est peut-être qu’une vitrine.</p>)

    Héberger un site web est quelque chose de normal de nos jours. Je ne connais pas beaucoup d’entreprises qui n’ont pas de site Internet. Toutefois, cette ouverture sur le monde est aussi une porte d’entrée pour les pirates ! Aujourd’hui, je vous propose de découvrir (ou revoir) deux outils vous permettant de renforcer la sécurité de vos applications.

    Lire la suite

  • Comment préparer sa migration vers la cryptographie post-quantique ? - featured image
    sécurité

    Comment préparer sa migration vers la cryptographie post-quantique ?

    Êtes-vous prêts pour l’avènement des ordinateurs quantiques ? Bien que ceux-ci permettraient de résoudre des calculs complexes en un temps record, ils représentent également une menace pour la cryptographie actuelle. Il faut donc déjà réfléchir à un chiffrement post-quantique, capable de résister aux attaques effectuées via des calculateurs quantiques.

    Lire la suite

  • Supply Chain Attack : Des livrables de confiance - featured image
    sécurité

    Supply Chain Attack : Des livrables de confiance

    Dans les articles précédents, nous avons vu comment protéger l’usine logicielle de contenus malicieux provenant de l’extérieur.

    Lire la suite

Voir plus d'articles sur le cloud native