Protéger la supply chain : qu’avons-nous appris depuis l’incident de SolarWinds en 2020 ?

Quels sont les enjeux en termes de sécurité posés par la supply chain ?

Alors que la supply chain des logiciels devient de plus en plus sophistiquée, nous constatons une adoption généralisée de l’automatisation du développement des logiciels, mais aussi d’outils et de référentiels basés sur le cloud pour aider à rationaliser les opérations. Toutefois, ces nouvelles solutions élargissent considérablement la surface d’attaque exploitable par les cybercriminels, en particulier du point de vue de l’identité. La digitalisation croissante dans les environnements décentralisés entraine plus d’identités humaines et non-humaines habilitées, susceptibles d’être exploitées par des hackers. En complément, le codage avec des composants open-source, et les tests automatisés pour les déploiements basés sur le cloud, créent plus de vulnérabilités pour la supply chain des logiciels, dont les cybercriminels peuvent tirer parti.

Comment les incidents liés à la sécurité de la supply chain se produisent-ils ? Et pourquoi ?

Ces attaques sont loin d’être nouvelles. En effet, les cybercriminels ciblent depuis longtemps des fournisseurs tiers dans les supply chains numériques et physiques, qu’il s’agisse de prestataires de logiciels et de technologies, d’avocats et de consultants, ou d’entreprises manufacturières et logistiques. Un exemple notable de ce type d’incident est le piratage de SolarWinds en 2020, sans précédent à bien des égards, et il y en a malheureusement eu de nombreux autres depuis. En fin de compte, les parties tierces comprises dans la chaîne d’approvisionnement constituent une entrée potentielle vers les réseaux des partenaires commerciaux. En testant leurs défenses, un cybercriminel peut y trouver une voie d’accès.

Cela dit, les attaques contre la supply chain des logiciels sont devenues plus fréquentes avec l’avènement des pipelines CI/CD ; en d’autres termes, chaque fois qu’un individu peut lire et contribuer au code, il y a un risque de porte dérobée. En effet, il est désormais courant que les hackers compromettent certains certificats afin d’y modifier le code source et de contourner les dispositifs de contrôle. Ainsi, dès 2016, celui du client BitTorrent Transmission a été dissimulé sur GitHub. Et en 2017, l’application de nettoyage populaire CCleaner a été tristement célèbre du fait d’un certificat de signature de code compromis ; ces deux cas étant des signes révélateurs que les chaînes d’approvisionnement en logiciels sont devenues un terrain de jeu pour les cybercriminels.

Quels sont les enseignements tirés suite aux multiples incidents sur la supply chain, en particulier celui visant SolarWinds ?

Il est facile pour les entreprises de penser qu’elles perdent du terrain face aux attaquants, étant donné que le nombre de brèches visibles ne cesse d’augmenter. Mais en réalité, c’est dès maintenant qu’elles devraient prendre les mesures de sécurité nécessaires pour protéger leurs institutions. Même si elles ne peuvent pas altérer le passé, elles ont un impact sur l’avenir, donnant lieu à deux perspectives distinctes.

Tout d’abord, il est de plus en plus reconnu que la responsabilité de protéger la supply chain n’incombe plus uniquement le vendeur, le fournisseur ou le client. Il s’agit désormais d’une charge partagée qui ne relève plus seulement des processus de certification standard des prestataires, comme c’était le cas avant 2019 lorsque l’attaque contre SolarWinds a commencé.

On comprend également que la posture de sécurité des développeurs doit être renforcée, en particulier dans trois domaines : la gestion des identités et des accès, la protection de leur environnement de travail et celles des pratiques de codage, qui doivent être plus strictes.