Selon le dernier baromètre du CESIN sur la cybersécurité des entreprises en France, les attaques indirectes par rebond via un prestataire ont augmenté de 5 % pour atteindre 21 % en 2021. Pour les organisations, la principale difficulté réside dans le fait que la défense de la supply chain est une mission difficile à accomplir compte tenu des centaines, voire des milliers de points d’entrée qui doivent être surveillés tout au long de la chaîne.
Bien que le défi soit grand, il existe bel et bien des mesures, ainsi que des bonnes pratiques, qui permettent de réduire considérablement le risque d’attaques réussies, une fois le périmètre de la supply chain défini.
Une chaîne d’approvisionnement englobe un large éventail de relations. Chaque entreprise possède une supply chain, même si elle ne porte pas cette étiquette, puisque celle-ci comprend tous les partenariats et toutes les relations commerciales qu’une entité est susceptible d’entretenir. Il peut s’agir d’une équipe de développement de logiciels travaillant avec des tiers qui soumettent du code à son système, ou bien de l’achat de produits IT ou de code auprès de ressources tierces qui doivent être intégrés dans la base de code interne. En réalité, une supply chain tournée vers l’extérieur peut désigner tout produit, code ou matériel, et service utilisé “tel quel” pour développer le propre produit ou service d’une entreprise.
Une fois que l’organisation dispose d’une vue d’ensemble de sa chaîne d’approvisionnement, elle peut se fixer un objectif très précis en matière de sécurité : veiller à ce que chaque produit entrant — qu’il s’agisse d’un logiciel acheté et utilisé, d’un code développé par un tiers, ou service utilisé — soit sécurisé et respecte les bonnes pratiques. Plus important encore, il faut être capable d’identifier et de contrôler toute personne ayant accès à un système d’entreprise, par quelque moyen que ce soit.
Une entreprise peut exploiter du code développé par des équipes internes ou par des sources externes. Dans tous les cas, il est primordial de veiller à ce que le processus de gestion du code soit validé. Dès lors qu’il y a une collaboration avec des sources extérieures, il est particulièrement important de conserver des clés de signature et des certificats sécurisés pour garantir l’authenticité. De plus, la mise en place d’un système de gestion du code source est primordiale. Cela permet de s'assurer que les versions du code sont correctement gérées et que chaque personne qui se connecte au système est authentifiée avec les autorisations appropriées. Le système horodate le code et enregistre ses mouvements afin qu'il ne puisse pas être manipulé de façon malveillante à tout moment sans être détecté.
La signature doit par ailleurs être utilisée et intégrée au système de gestion de code pour protéger tous les types de modules logiciels et d'exécutables, y compris les pilotes de logiciels, les applications, les fichiers d'installation, les scripts et les modules de micrologiciels dans les systèmes industriels. De plus, à l’heure où les développeurs sont très sollicités, et où la quantité de code open-source disponible est considérable, il est nécessaire de savoir d’où vient le code. Tous les codes open-source ne sont pas égaux et les attaquants ont tiré parti de vulnérabilités connues. Si un code source ouvert est utilisé, il doit être divulgué. L'identification des composants open source permet de remédier plus rapidement aux vulnérabilités qui pourraient apparaître à l'avenir, qu'il s'agisse de code que l’organisation a géré ou de logiciels achetés.
Au regard de l’omniprésence des cybermenaces, les entreprises doivent être en mesure de protéger toutes les formes de code contre tout accès non autorisé et toute manipulation au cœur de leur supply chain. De manière générale, elles doivent s’assurer que ce qu’elles reçoivent de l’extérieur ne créera pas de vulnérabilités à l’intérieur une fois ingéré. L’authentification multifacteur résistante au phishing, ainsi que la signature de code constituent des contrôles et des mesures de sécurité efficaces pour améliorer leur protection tout en répondant aux besoins de conformité ; un enjeu crucial alors qu’il faut s’attendre à de nouvelles attaques ciblant la supply chain dans les mois à venir.