Les attaques sur la chaîne d’approvisionnement logicielle s’aggravent et nous ne sommes pas prêts

Spread the love
Les attaques sur la chaîne d'approvisionnement logicielle s'aggravent et nous ne sommes pas prêts

L’Agence de l’Union européenne pour la cybersécurité (ENISA) a analysé 24 attaques récentes visant les sous traitant de la chaine d’approvisionnement logiciel et a conclu qu’une protection de sécurité forte ne suffit plus.

Les récentes attaques de ce type analysées par l’ENISA concernent notamment le logiciel Orion de SolarWinds, le fournisseur de CDN Mimecast, l’outil de développement Codecov et l’entreprise de gestion informatique Kaseya.

publicité

L’ENISA s’est concentrées sur les attaques menées par des menaces persistantes avancées (APT) et note que si le code, les exploits et les logiciels malveillants ne sont pas considérés comme “sophistiqués”, la planification, la mise en scène et l’exécution sont des tâches complexes. Elle note que 11 des attaques visant la chaîne d’approvisionnement logicielle ont été menées par des groupes APT connus.

“Ces distinctions sont cruciales pour comprendre qu’une organisation peut être vulnérable à une attaque de la chaîne d’approvisionnement logicielles, même si ses propres défenses sont assez bonnes. Par conséquent, les attaquants tentent d’explorer de nouvelles voies potentielles pour les infiltrer en se déplaçant vers leurs fournisseurs et en faisant d’eux une cible”, note l’agence dans son rapport.

L’agence s’attend à ce que les attaques de ce type s’aggravent considérablement à l’avenir : “C’est pourquoi il est urgent d’introduire de nouvelles mesures de protection pour prévenir et répondre aux attaques potentielles, tout en atténuant leur impact”, indique-t-elle.

L’analyse de l’ENISA a révélé que les attaquants se sont concentrés sur les fournisseurs dans environ 66 % des incidents signalés. La même proportion de fournisseurs n’étaient pas au courant de l’attaque avant qu’elle ne soit divulguée.

“Cela montre que les organisations devraient concentrer leurs efforts sur la validation du code et des logiciels de tiers avant de les utiliser, afin de s’assurer qu’ils n’ont pas été altérés ou manipulés”, a déclaré l’ENISA, bien que cela soit plus facile à dire qu’à faire.

Comme l’a souligné la Fondation Linux à la suite des révélations sur l’affaire SolarWinds, même l’examen du code source – tant pour les logiciels libres que pour les logiciels propriétaires non vérifiés – n’aurait probablement pas empêché cette attaque.

L’ENISA appelle à une action coordonnée au niveau de l’UE et a présenté neuf recommandations que les clients et les fournisseurs devraient suivre.

Les recommandations pour les clients sont les suivantes :

  • l’identification et la documentation des fournisseurs et des prestataires de services ;

  • la définition de critères de risque pour différents types de fournisseurs et de services, tels que les dépendances entre fournisseurs et clients, les dépendances logicielles critiques, les points de défaillance uniques ;

  • le suivi des risques et des menaces de la chaîne d’approvisionnement logicielle ;

  • la gestion des fournisseurs tout au long du cycle de vie d’un produit ou d’un service, y compris les procédures de traitement des produits ou composants en fin de vie ;

  • la classification des actifs et des informations partagés avec les fournisseurs ou accessibles à ces derniers, et la définition de procédures pertinentes pour y accéder et les traiter.

L’ENISA recommande aux fournisseurs :

  • de s’assurer que l’infrastructure utilisée pour concevoir, développer, fabriquer et fournir des produits, composants et services respecte les bonnes pratiques de cybersécurité ;

  • de mettre en œuvre un processus de développement, de maintenance et de support des produits qui soit conforme aux processus de développement de produits communément acceptés ;

  • de surveiller les vulnérabilités de sécurité signalées par des sources internes et externes, y compris dans les composants tiers ;

  • de tenir un inventaire des actifs qui comprend des informations relatives aux correctifs.

L’attaque de SolarWinds, par exemple, a ébranlé Microsoft, dont le président, Brad Smith, a déclaré qu’il s’agissait de “l’attaque la plus importante et la plus sophistiquée que le monde ait jamais vue.” Des attaquants ont compromis le système de mise à jour du logiciel Orion de SolarWinds pour y implanter une porte dérobée qui a été distribuée à plusieurs entreprises américaines de cybersécurité et à plusieurs agences fédérales.

L’augmentation des attaques de ce type, orchestrées par des groupes cybercriminels liés à des États et le recours à ces tactiques par des groupes cybercriminels, comme dans le cas de l’incident de Kaseya, s’est immiscée dans les discussions entre les États-Unis et la Russie.

Le président américain Joe Biden a déclaré la semaine dernière qu’une cyberattaque majeure serait une cause possible de l’entrée des États-Unis dans une “véritable guerre armée” avec une autre superpuissance.

Source : “ZDNet.com”

Leave a Reply