Analyse de la composition logicielle et défense en profondeur

Version imprimable, PDF et e-mail

Alors que le nombre et la sophistication des attaques ne cessent d'augmenter, de nombreuses organisations adoptent une approche approfondie de la cybersécurité. Cela signifie analyser de plus près la composition des logiciels (SCA) pour se défendre contre les attaques qui ciblent la chaîne logistique.

Pour preuve de l'importance croissante de ce problème, vous pouvez vous reporter à notre Rapport d'état des lieux de la sécurité des applications 2021. Parmi les solutions fortement envisagées par les répondants au cours des 12 prochains mois, la deuxième la plus citée est une analyse de la protection des logiciels de chaîne logistique. De plus, 30 % des répondants déclarent qu'ils prévoient d'utiliser des solutions de protection de la chaîne logistique sous forme de service indépendant. La SCA (analyse de la composition logicielle) est déjà le moyen de défense le plus populaire contre les attaques sur la chaîne logistique – elle fait déjà partie de l'arsenal de protection pour 59 % des entreprises américaines et d'Asie Pacifique.

Aujourd'hui, les logiciels sont composés de dizaines de parties différentes, chacune pouvant avoir ses propres vulnérabilités. Un site Web peut ainsi avoir un composant pour compter le nombre de visiteurs, un autre pour gérer la partie e-commerce, un autre encore pour héberger et afficher les publicités ou pour personnaliser des contenus. Et nombre de ces composants en contiennent d'autres, qui proviennent d'autres fournisseurs ou de bibliothèques open source. Cela multiplie les vulnérabilités potentielles. Cela signifie que pour tout achat de logiciel, vous devez faire confiance à des dizaines de fournisseurs et de développeurs que vous ne connaissez pas et partir du principe qu'ils ont tous effectué leur « due diligence » en matière de sécurité.

Et comme le montre notre enquête, la menace est bien réelle. Près des trois-quarts des entreprises interrogées (72 %) ont déclaré avoir connu au moins une faille à cause d'une vulnérabilité logicielle au cours de l'année précédente.

La SCA sert à vérifier les composants individuels d'une application ou de la nouvelle version d'une application, à la recherche de vulnérabilités connues. Mais les pirates ciblent aussi les fournisseurs de logiciels reconnus afin de s'immiscer dans les chaînes logistiques des entreprises.

La dernière attaque de haut vol a utilisé Kaseya, un outil populaire de gestion et de sécurité informatique, pour dissimuler un malware qui a touché des centaines d'entreprises dans le monde. Kaseya est utilisé par de nombreux fournisseurs de services gérés qui hébergent des systèmes informatiques pour des entreprises. L'attaque a fait un maximum de dégâts car elle a frappé le week-end du 4 juillet, au cours duquel de nombreuses entreprises sont fermées aux États-Unis en raison de la fête de l'Indépendance. Les criminels responsables de l'introduction du malware (connus sous le nom de « groupe REvil ») ont demandé 70 millions de dollars de rançon en bitcoins pour déchiffrer les données obtenues. Après l'attaque, Kaseya a mis plus d'une semaine à remettre ses systèmes sur pied.

Mais la faille la plus dévastatrice ayant eu lieu récemment est l'attaque sur SolarWinds, qui a fait les gros titres de l'actualité en décembre 2020 mais continue encore aujourd'hui de faire des victimes. Les cybercriminels ont introduit une porte dérobée dans le logiciel de gestion de réseau très utilisé de SolarWinds, et des milliers de clients de l'entreprise ont ainsi été exposés. Parmi les organismes compromis, on compte notamment des entités gouvernementales des États-Unis réputées très sécurisées, comme le Département de l'Énergie, le Département de la Sécurité intérieure et le Département d'État.

La SCA est certes un nouveau segment commercial, mais il existe heureusement des outils gratuits pour vous aider à protéger vos logiciels. Le projet Open Web Application Security Project fournit un outil de vérification des dépendances qui peut analyser vos applications à la recherche de vulnérabilités connues et proposer des solutions. Souvent, cela consiste à mettre à niveau les composants, sans forcément les remplacer intégralement.

Mais cet outil ne devrait pas servir qu'une seule fois. Il devrait faire partie d'un audit régulier de vos logiciels et être lancé à chaque fois que vous avez un nouveau logiciel ou que vous mettez à jour d'anciennes applications. L'outil de vérification se met à jour régulièrement automatiquement afin de pouvoir détecter les nouvelles vulnérabilités.

La SCA n'est pas une baguette magique et doit être intégrée à une approche de défense en profondeur. Utilisée conjointement au WAF de Barracuda v11 et au WAF-as-a-Service, la SCA offre une protection côté client et permet de renforcer la défense en profondeur. Elle réduit également les risques d'attaques sur la chaîne logistique, car elle identifie les changements de code dans la réponse du serveur (SRI) et injecte des politiques de sécurité du navigateur (CSP) au moment de l'exécution.

Pour en savoir plus sur les menaces réelles et voir comment les entreprises du monde entier y font face, téléchargez notre Rapport d'état des lieux sur la sécurité des applications. Ce rapport comprend les contributions de plus de 750 décisionnaires du monde entier dans le domaine de la sécurité.

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager