Barracuda full logo

Réduire les risques liés à la sécurité de la chaîne logistique en limitant le nombre des fournisseurs

Thèmes:
28 mars 2023
|
Tony Burgess

Les administrateurs informatiques doivent depuis longtemps trouver le bon équilibre entre deux stratégies. D'une part, l'efficacité et la simplicité de la concentration de la sécurité et d'autres fonctions auprès d'un seul fournisseur sont convaincantes.

De l’autre, le fait de bâtir une infrastructure à partir de solutions ponctuelles de pointe pour chaque fonction de sécurité informatique offre une résilience et une flexibilité. Faire appel à plusieurs fournisseurs évite de baser l’ensemble de l’infrastructure de sécurité sur un seul point qui peut s’avérer défaillant.

Le choix que vous ferez pour votre entreprise dépendra de plusieurs facteurs qui peuvent chacun évoluer.

Un changement important qui mérite d’être signalé est l’augmentation des attaques visant la chaîne logistique logicielle. Cette stratégie d’attaque consiste à compromettre des systèmes et des réseaux situés très haut dans la chaîne d’approvisionnement des fournisseurs et à les utiliser pour diffuser largement la faille et lancer des attaques contre des entreprises situées en aval de la chaîne comme la vôtre.

La violation massive de données d’Illuminate en janvier 2022 en est un bon exemple. Celle-ci a eu pour effet de divulguer les données des districts scolaires du pays qui utilisaient le service compromis. Pour en savoir plus sur cette attaque et sur d’autres attaques de la chaîne d’approvisionnement ainsi que sur les stratégies techniques visant à minimiser les risques grâce à une sécurité robuste, lisez cet article de blog publié en juillet 2022.

Qui dit grandes surfaces d’attaque dit complexité concernant la gestion des risques

Les chaînes logistiques logicielles peuvent être très complexes. Imaginons que vous utilisiez une solution ERP SaaS. Le fournisseur de cette solution a peut-être externalisé différentes parties de son développement de produits à plusieurs sous-traitants.

Chacun de ces sous-traitants a ses équipes de développement qui utilisent une grande partie du code fonctionnel existant et font appel à des bibliothèques ou à des utilitaires externes pour assembler leur code. La plupart de ces outils sont appelés ou téléchargés uniquement lorsque l’application est exécutée ce qui fait que les changements malveillants sont difficiles à détecter. Et chacun de ces maillons de la chaîne d’approvisionnement – des dizaines ou des centaines – représentent un point potentiel de compromission.

Les stratégies pour minimiser les risques

Les risques croissants liés à la chaîne d’approvisionnement plaident en faveur d’une plus grande concentration des fonctions et des capacités entre un nombre réduit de fournisseurs. Réduire le nombre de fournisseurs de logiciels peut considérablement réduire la surface d’attaque de votre chaîne logistique.

Il est également important d’optimiser votre sécurité en intégrant la sécurité avancée des e-mails, la protection des boîtes de réception, l’accès Zero Trust et d’autres fonctionnalités avancées. Dans le contexte complexe des menaces d’aujourd’hui, une infrastructure de sécurité basée sur une plateforme provenant d’un fournisseur unique peut fournir une protection plus robuste et complète grâce à des capacités intégrées, au partage de renseignements sur les menaces à l’échelle du système et à une visibilité et un contrôle provenant d’un seul fournisseur.

Barracuda est un leader pour les systèmes de sécurité complets basés sur une plateforme cloud :

  • Barracuda Email Protection protège votre déploiement Microsoft 365 avec une sécurité avancée, une réponse aux incidents, des formations de sensibilisation et bien plus encore
  • Barracuda Cloud Application Protection est notre package Web Application et API Protection (WAAP) construit autour du WAF-as-a-Service robuste, éprouvé et facile à utiliser de Barracuda
  • Barracuda Network Protection combine des fonctionnalités SD-WAN, un accès Zero Trust et d’autres fonctionnalités pour vous aider à créer une architecture SSE (Secure Service Edge) complète.

Gérer les risques en amont de la chaîne

En plus des solutions techniques, vous devez améliorer vos pratiques d’approvisionnement pour vous assurer que des éléments de sécurité sont intégrés à chaque contrat et accord de partenariat. Cela signifie que vous devez développer un système pour évaluer la fiabilité et la sécurité des partenaires et des fournisseurs potentiels.

La publication du National Institute of Standards and Technology (NIST) américain intitulée « Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations » reprend les meilleures pratiques et fournit des recommandations spécifiques et concrètes. Comme le dit Gartner en annonçant la publication de son rapport « Top Trends in Cybersecurity 2022 » :

« Les risques liés à la chaîne logistique numérique exigent de nouvelles approches d'atténuation qui impliquent une segmentation et une notation plus délibérées des fournisseurs/partenaires et fondées sur les risques, des demandes de preuves des contrôles de sécurité et des bonnes pratiques sécurisées, un nouveau mode de réflexion fondé sur la résilience et des initiatives pour devancer les réglementations à venir. »

Enfin, il est essentiel d’intégrer la sécurité à tous les niveaux du développement des applications, même si cela implique de faire des compromis sur la vitesse du DevOps.

Parce que les menaces qui pèsent sur la chaîne logistique logicielle sont diffuses et que la surface d’attaque est vaste et complexe, la solution miracle n’existe pas. Mais en limitant le nombre des fournisseurs, en implantant une solution de sécurité complète basée sur une seule plateforme et en adoptant des processus métier qui intègrent la sécurité, vous pouvez minimiser les risques. 

Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Comblez les failles de sécurité cachées grâce à Barracuda Managed Vulnerability Security
Comblez les failles de sécurité cachées grâce à Barracuda Managed Vulnerability Security
 Présentation de la nouvelle plateforme de cybersécurité BarracudaONE alimentée par l’IA
Présentation de la nouvelle plateforme de cybersécurité BarracudaONE alimentée par l’IA
Ransomware Cl0p : l’envahisseur rusé qui mord pendant votre sommeil
Ransomware Cl0p : l’envahisseur rusé qui mord pendant votre sommeil
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.