Crise de la chaîne logistique logicielle

Version imprimable, PDF et e-mail

Ces derniers mois, les violations de données attribuées aux cyberattaques menées contre les chaînes logistiques logicielles affectent fortement les entreprises du monde entier. Les cybercriminels ont compris que pour faire le plus de dégâts possible, il fallait s'attaquer aux logiciels les plus utilisés en entreprise. Ces attaques visent principalement les équipes de développeurs chargées de créer et de déployer ces logiciels.

Bien qu'elles ciblent une catégorie de victimes bien précise, la plupart de ces attaques commencent elles aussi par une tentative d'hameçonnage. Les cybercriminels tentent de compromettre les identifiants des développeurs, car ces derniers sont censés disposer d'un accès privilégié aux plateformes informatiques back-end qui les intéressent. Comme beaucoup d'utilisateurs finaux, les développeurs jouissent généralement de privilèges excessifs.

Cela s'explique principalement par le fait que les développeurs chargés de créer et de déployer des applications effectuent désormais le provisionnement à l'aide d'outils IaC (« Infrastructure as Code ») tels que Terraform. Les cybercriminels savent qu'en dérobant les identifiants de ces systèmes, ils peuvent accéder à l'ensemble de l'environnement informatique. La plupart des entreprises ont mis en place des politiques qui visent à restreindre l'accès à leur environnement informatique, mais leur application constitue un défi majeur.

Selon une enquête réalisée par Dimensional Research pour Tripwire, un fournisseur de solutions de conformité, plus de trois quarts (78 %) des 314 professionnels de la sécurité interrogés utilisent des frameworks de sécurité, et plus de la moitié d'entre eux (59 %) ont mis en place des normes de configuration pour leur cloud public. En revanche, seules 38 % des entreprises ayant mis en place des frameworks les appliquent de façon uniforme dans leur environnement cloud. Seules 21 % des entreprises affirment gérer de façon centralisée la sécurité et la conformité de leurs comptes cloud.

Près de trois quarts (73 %) des entreprises interrogées affirment adopter désormais un environnement multicloud, et 98 % déclarent que le multicloud pose de nouveaux défis en matière de sécurité. Les bonnes pratiques DevSecOps, qui transfèrent la responsabilité de la sécurité aux développeurs, permettent de limiter les risques, en théorie du moins. En réalité, les développeurs n'ont pas le temps ou, dans certains cas, l'envie de maîtriser toutes les nuances de la cybersécurité. Peut-être qu'un jour, les outils et les plateformes DevOps qu'ils utilisent seront capables de détecter le code malveillant injecté dans une application. D'ici là, il revient aux équipes de sécurité de sécuriser la chaîne logistique avant et après le déploiement du logiciel dans un environnement de production.

Sachant que les développeurs tombent facilement dans le piège de l'hameçonnage, ce n'est évidemment pas une mince affaire. Les équipes de cybersécurité doivent non seulement élaborer des politiques de sécurité, mais aussi veiller à leur application. Ce qui complique leur tâche, c'est le désir de sécuriser la chaîne logistique logicielle sans ralentir le rythme de création et de déploiement des applications. Difficile de dire dans quelle mesure cet objectif est réalisable. Tôt ou tard, les entreprises devront se rendre à l'évidence : déployer plus rapidement un nombre croissant de logiciels non sécurisés, c'est faire le jeu des cybercriminels. À vrai dire, que cela plaise ou non, il est peut-être temps d'admettre que, du moins pour l'instant, les logiciels développés rapidement représentent un risque quelle que soit la vitesse.

Remonter en haut de page
Tweeter
Partager
Partager