Gartner 2022 tendance sécurité #2: Risque lié à la chaîne d’approvisionnement numérique
Voici le deuxième article de notre série en cours sur les sept grandes tendances identifiées dans le rapport de Gartner, publié en mars dernier à destination de ses clients et intitulé « Grandes tendances 2022 de la cybersécurité ». Vous pouvez lire la publication précédente ici.
En décembre 2021, une vulnérabilité découverte dans Log4J, un utilitaire de logging d'événement basé sur Java et largement implémenté, a fait couler beaucoup d'encre. C’est la première fois que le grand public a pris conscience des risques liés à la chaîne logistique numérique. Puis, le produit Orion de l'entreprise SolarWinds, a été visé par une attaque qui a touché un grand nombre d’organisations des secteurs public et privé.
Du point de vue des pirates, les attaques sur la chaîne logistique sont brillantes, efficaces et surtout très rentables. L'idée est que si vous pouvez compromettre un bout de code couramment utilisé par les développeurs comme base pour leurs propres applications et autres produits numériques (bibliothèques open source, utilitaires, etc.), vous pouvez accéder à une grande variété de réseaux ciblés.
C'est comme si des acteurs malveillants réussissaient à empoisonner du sirop de glucose au stade de la fabrication. Ce n’est pas un produit directement acheté par les consommateurs, mais il est utilisé comme ingrédient dans un grand nombre d’aliments transformés que des millions de personnes consomment chaque jour. Les résultats seraient catastrophiques.
Les attaques côté client sont un type spécifique de menace sur la chaîne logistique, particulièrement difficile à combattre. Elles résultent d'une pratique très courante qui consiste à développer des applications Web qui appellent des scripts, des bibliothèques ou d'autres composants logiciels externes et tiers, au fur et à mesure de leur exécution, c'est-à-dire après leur téléchargement dans un navigateur client. Si ces composants externes ont été compromis, l'attaque qui en résulte se déroule entièrement dans le système de l'utilisateur. Côté serveur, il n’y a aucun signe de compromission, ce qui rend la détection difficile.
Solutions techniques
Selon les prévisions de Gartner, d’ici 2025, 45 % des entreprises dans le monde auront subi des attaques sur la chaîne logistique numérique, contre seulement 15 % en 2021. Il est donc impératif que chaque entreprise qui participe à ces chaînes logistiques mette en œuvre des mesures pour atténuer les risques. Malheureusement, ce n'est pas si facile.
D'un point de vue purement technique, il est possible de réduire les risques grâce à une plateforme avancée de protection des applications Web et des API, comme Barracuda Cloud Application Protection. Lorsqu’elles sont intégrées au processus de développement, ces solutions peuvent surveiller vos applications pour empêcher l’utilisation de composants tiers dont on sait qu'ils ont été compromis, sur la base de données de renseignement sur les menaces fréquemment mises à jour. Elles peuvent également automatiser les tâches complexes de configuration de la politique de sécurité du contenu et de l’intégrité des sous-ressources, afin de réduire les erreurs et d’augmenter la protection côté client.
À long terme, cependant, les solutions techniques seules ne suffiront pas à lutter efficacement contre les attaques sur la chaîne logistique. L'objectif ultime est de réduire considérablement les chances pour tous les acteurs malveillants de réussir leur attaque, pour en arriver au point où le rapport entre l'effort requis et les possibilités de gain soit si peu intéressant que ces acteurs n'aient plus envie de se lancer dans ce genre d'initiative.
Des pratiques commerciales qui évoluent
Aux États-Unis, le National Institute of Standards and Technology (NIST) a récemment mis à jour sa publication « Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations » (Pratiques de gestion du risque sur la chaîne logistique de cybersécurité pour les systèmes et organisations). Destinée aux grandes entreprises, cette publication fournit une longue liste de recommandations sur la manière de gérer le risque lié à la chaîne logistique logicielle. Des contrôles et des pratiques de cybersécurité efficaces, tels que la sécurité avancée des accès, la réponse automatisée aux incidents, les audits de sécurité fréquents, etc., sont fondamentaux.
Toutefois, les recommandations qui reviennent à radicalement améliorer les pratiques d’approvisionnement sont tout aussi importantes. Fondamentalement, la sécurité doit être prise en compte dans chaque contrat et accord entre les fournisseurs et leurs clients, afin que la confiance règne jusqu'au plus haut niveau de la chaîne logistique. Cela nécessite également de développer un système fiable pour évaluer la fiabilité et la sécurité des potentiels partenaires commerciaux.
Au niveau plus précis des équipes de développement d'applications, chaque processus doit être informé des risques potentiels. Comme le dit le communiqué de presse du Gartner :
« Les risques liés à la chaîne logistique numérique exigent de nouvelles approches d'atténuation qui impliquent une segmentation et une notation plus délibérées des fournisseurs/partenaires et fondées sur les risques, des demandes de preuves des contrôles de sécurité et des bonnes pratiques sécurisées, un nouveau mode de réflexion fondé sur la résilience et des initiatives pour devancer les réglementations à venir. »
La fin de la sécurité cloisonnée
Comme nous le verrons à plusieurs reprises au fil des sept grandes tendances du Gartner en matière de cybersécurité, la principale leçon à retenir est que la sécurité ne peut plus jamais être vue comme une simple question d'identification des vecteurs d'attaque potentiels et d'application de solutions de sécurité ponctuelles à chacun d'entre eux.
À l’avenir, chaque unité opérationnelle doit intégrer la sécurité et la résilience dans tous ses processus, et tous les employés doivent être conscients des implications de leurs rôles en matière de sécurité et de résilience.
