Sécurisation renforcée de la chaîne d'approvisionnement logicielle

La menace qui pèse sur les chaînes d'approvisionnement logicielles paraît se préciser à la suite de deux violations notables. Tout d'abord, Slack a détecté une activité suspecte dans son référentiel GitHub privé destiné à la création de logiciels. Il s'agissait du vol et de l'utilisation abusive d'un nombre limité de jetons d'employés pour accéder à un référentiel hébergé en externe. Un pirate non identifié avait également téléchargé des référentiels de code privés, mais ces référentiels ne contenaient aucune base de code principale de Slack ni aucune donnée client.

Puis, CircleCI, un fournisseur d'intégration continue/livraison continue (CI/CD) employé par de nombreuses entreprises pour développer et déployer des applications, prévient ses clients de transférer immédiatement tous les secrets (mots de passe, clés API, clés SSH, fichiers de configuration, jetons OAuth, etc.) stockés sur la plateforme à la suite d'un incident de sécurité faisant l'objet d'une enquête au sein de l'entreprise.

On ne sait pas exactement quel impact ces événements pourraient avoir en définitive, mais à la suite de violations similaires impliquant LastPass et SolarWinds, il est évident que la sensibilisation à la nécessité de renforcer la sécurité de la chaîne d'approvisionnement logicielle s'est accrue. Bien que chacun de ces incidents soit malheureux, le fait qu'ils soient identifiés et divulgués en temps utile pourrait en réalité être considéré comme un progrès appréciable.

Il n'y a pas si longtemps, les chances que ces types de violations soient détectées étaient faibles. La meilleure façon de sécuriser les chaînes d'approvisionnement logicielles fait encore l'objet de nombreux débats, mais il est clair que les choses commencent à bouger. Le problème est que toute cette attention portée aux chaînes d'approvisionnement logicielles tend à encourager les cybercriminels à les attaquer. Bien entendu, personne ne sait avec certitude dans quelle mesure les chaînes d'approvisionnement logicielles sont compromises, mais la vigilance est plus que jamais de mise. Certaines chaînes d'approvisionnement logicielles ont pu être compromises pendant des années sans que personne n'en sache rien.

Le plus important est que les développeurs d'applications et les professionnels de la cybersécurité collaborent. Le principal obstacle à l'adoption des bonnes pratiques DevSecOps nécessaires pour sécuriser les chaînes d'approvisionnement logicielles reste largement culturel. Pendant plus d'années qu'on ne veut bien l'admettre, de nombreux développeurs ont considéré la cybersécurité comme un obstacle au développement d'applications qu'il fallait surmonter ou contourner plutôt que comme un aspect essentiel du processus d'assurance qualité. Le nombre total de vulnérabilités qui existent dans les applications exécutées dans des environnements de production pourrait probablement se chiffrer en milliards.

Ce qu'il faut retenir, cependant, c'est que ces vulnérabilités ne présentent pas toutes la même gravité. L'une des raisons pour lesquelles il existe une telle méfiance entre les développeurs d'applications et les équipes de cybersécurité est que ces dernières ont historiquement eu tendance à créer des listes de vulnérabilités à corriger sans réel contexte. Les développeurs tiraillés entre la nécessité de développer un nouveau code et celle de corriger un ancien code reçoivent des listes de vulnérabilités qui, une fois analysées, s'avèrent n'avoir aucun effet sur l'application en raison de la manière dont le code a été conçu ou déployé. Pire encore, lorsqu'elle est découverte, les chances que cette vulnérabilité soit un jour exploitée s'avèrent, au mieux, infimes.

Heureusement, il règne actuellement une atmosphère propice à la coopération et au dialogue entre les développeurs et les professionnels de la cybersécurité. Plutôt que de se considérer mutuellement avec suspicion, il existe aujourd'hui une réelle opportunité de faire évoluer les mentalités au profit de toutes les parties concernées. Comme toute négociation visant à mettre fin à un conflit, il faudra, comme toujours, que quelqu'un soit suffisamment déterminé pour faire le premier pas.