Cet article a été publié pour la première fois sur Inside IT (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
Cybermenace numéro 1 : la chaîne d'approvisionnement
Les cyberattaques contre la chaîne d'approvisionnement ont augmenté de manière significative ces dernières années. Elles constituent désormais l'une des plus grandes menaces. Comment cela se fait-il et quelles sont les solutions les plus prometteuses ?
Lorsque l'expert en cryptographie et en sécurité informatique de renommée mondiale Bruce Schneier a été interrogé par le magazine Computerworld Hong Kong en 2012 sur le fait de savoir si nous étions plus sûrs aujourd'hui que cinq ans auparavant, il a répondu : « En bref, non. Il est intéressant de constater que chaque année, nous avons de nouvelles technologies, de nouveaux produits, de nouvelles idées, entreprises et recherches, mais les gens continuent à se demander pourquoi les choses vont si mal en matière de sécurité ? Et la réponse est que fondamentalement, le problème est la complexité ».
Onze ans plus tard, en mars 2023, l'Agence de l'Union européenne pour la cybersécurité, ENISA, a identifié les chaînes d'approvisionnement très complexes et, en particulier, leurs dépendances logicielles comme la menace numéro un dans ses prévisions de cybermenaces d'ici 2030.
Les cyberattaques commencent souvent dans la chaîne d'approvisionnement
En effet, les attaques de la chaîne d'approvisionnement ont augmenté de manière significative ces dernières années et sont désormais l'un des vecteurs d'infection initiale les plus courants.
Pourquoi est-ce le cas ? D'une part, les entreprises ont amélioré leur propre sécurité, ce qui la rend plus difficile pour les cybercriminels. D'autre part, le recours aux fournisseurs de services et aux services en nuage est en augmentation. Le développement de logiciels distribués devient également de plus en plus complexe. Les micrologiciels des principaux fabricants de PC à eux seuls comprennent désormais bien plus de 4 000 fournisseurs pour tous les composants logiciels qu'ils contiennent.
Protection de base largement inefficace
Comme les attaques de la chaîne d'approvisionnement ne s'attaquent pas directement à la propre infrastructure informatique d'une entreprise, mais sont infiltrées via des services informatiques tiers, les mesures de protection habituelles prises par les entreprises utilisatrices sont largement inefficaces contre ces attaques.
Des exemples récents montrent que même les entreprises ayant un haut niveau de maturité en matière de sécurité informatique peuvent se retrouver dans un état d'urgence pendant des semaines lorsqu'une nouvelle vulnérabilité de la chaîne d'approvisionnement fait son apparition. L'opérateur manque tout simplement d'informations sur le matériel, les systèmes d'exploitation, les bibliothèques logicielles, etc. utilisés dans les nombreux produits qu'il utilise, ou même sur les versions actuellement en service et les vulnérabilités nouvellement découvertes qui les concernent.
Attaques multi-étapes de la chaîne d'approvisionnement
La situation est encore plus compliquée par le fait que la chaîne d'approvisionnement et les attaques à son encontre peuvent se dérouler à plusieurs niveaux. Les fournisseurs, en tant qu'utilisateurs finaux, agrègent et dépendent d'éléments et de services provenant d'autres fournisseurs, en tant qu'utilisateurs. Un exemple d'attaque de la chaîne d'approvisionnement à plusieurs niveaux est la compromission de l'application de bureau 3CX, un logiciel VoIP populaire. Au début de l'année 2023, il a été annoncé que cette application de bureau avait été compromise. Les cybercriminels ont pu injecter des logiciels malveillants dans les mises à jour logicielles officielles de l'application de bureau 3CX et les distribuer sur les systèmes des utilisateurs finaux. Plutôt que d'infiltrer directement 3CX, les cybercriminels ont utilisé un fournisseur appelé Trading Technologies, dont le site Web pourrait être utilisé pour héberger un composant logiciel malveillant qui utilisait 3CX.
Exemples récents les plus marquants
Approches
Il est clair que ce n'est pas un problème qui peut être résolu en un seul endroit. Les opérateurs, les fournisseurs et les développeurs doivent tous jouer un rôle dans l'amélioration de la situation. Heureusement, il existe des développements prometteurs dans ce domaine :
Au-delà des logiciels
Bien sûr, il ne suffit pas de se concentrer sur les logiciels pour rendre les chaînes d'approvisionnement plus sûres. Ce n'est qu'une dimension du problème. Le principe de la SBOM peut également être appliqué à d'autres éléments de la chaîne d'approvisionnement. En principe, le concept permet une transparence totale de tous les composants utilisés. Les exemples incluent le matériel utilisé (HBOM) ainsi que les applications cloud utilisées (SaaSBOM). Les composants de sécurité (tels qu'un EDR) eux-mêmes doivent également être pris en compte, car ils sont souvent dotés de privilèges élevés et sont donc attrayants pour les criminels. Dans son document « Threat Landscape for supply chain attacks », l'ENISA énumère les actifs des fournisseurs qui peuvent faire l'objet d'une attaque de la chaîne d'approvisionnement. Par conséquent, elle mentionne également les personnes ayant accès à des données et à des infrastructures sensibles, ce qui ferme la boucle.
Toute personne qui parvient à la conclusion que les SBOM sont patientes en raison de la complexité du sujet doit lire ce qui suit. Après tout, les législateurs ont également reconnu que les questions de la chaîne d'approvisionnement doivent être prises très au sérieux. Manquer le bateau ici, pourrait mettre votre entreprise en danger - et pas seulement à cause d'une attaque réussie.
Ce qui se passe avec la législation
La législation européenne en matière de cybersécurité, la « directive NIS2 », est entrée en vigueur en janvier 2023 et doit être transposée dans la législation nationale par les États membres de l'UE en octobre 2024. Elle exige des entreprises qu'elles abordent les risques de cybersécurité dans les chaînes d'approvisionnement et les relations d'approvisionnement. Pour la première fois, la loi impose également des obligations aux entreprises de la chaîne d'approvisionnement. Dans l'article 21(2), la cybersécurité de la chaîne d'approvisionnement est considérée comme une partie intégrante des mesures de gestion des risques de cybersécurité. Elle requiert également le recours à des SBOM. Les fournisseurs peuvent se préparer à de tels audits.
Le projet de loi européen sur la cyberrésilience (Cyber Resilience Act, CRA) exige des fabricants de produits numériques qu'ils fournissent des mises à jour de sécurité pendant une période définie, entre autres choses. Celles-ci doivent être fournies aussi rapidement que possible afin d'éviter les retards causés par les composants logiciels utilisés par d'autres fabricants. Un marquage CE pour les produits connectés à Internet, indiquant la conformité avec les nouvelles normes, est en cours de discussion.
La Maison Blanche a déjà émis un ordre exécutif en 2021 pour améliorer la cybersécurité de la nation. EO 14028 établit de nouvelles exigences pour sécuriser la chaîne d'approvisionnement en logiciels du gouvernement fédéral. En février 2022, le NIST américain a ordonné la fourniture et l'utilisation de SBOM par les fournisseurs du gouvernement américain.
Des choses se passent également en Suisse en ce qui concerne les risques de la chaîne d'approvisionnement : Dans le rapport final sur l'évaluation de l'efficacité de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) du 28 mars 2022, il est mentionné que les personnes interrogées voient des problèmes dans le fait que la sensibilisation aux risques de la chaîne d'approvisionnement en rapport avec des composants ou également des services pour les infrastructures critiques est insuffisante et n'est pas abordée de manière conséquente par la NCS.
Conclusion
Les organisations qui ne traitent pas systématiquement le risque d'attaques de la chaîne d'approvisionnement courent non seulement un risque élevé de devenir des victimes non préparées d'une telle attaque. Ils courent également le risque de tomber régulièrement dans une frénésie opérationnelle lorsque des vulnérabilités sont signalées et de gaspiller des ressources sécuritaires et opérationnelles précieuses en cherchant une aiguille dans une botte de foin. Comme les criminels n'attendent pas, les organisations devraient mettre en place un système de gestion des incidents et des urgences qui soit adapté au risque et qui prenne également en compte les incidents spécifiques à la chaîne d'approvisionnement. Cela devrait inclure l'analyse et la documentation des dépendances de la chaîne d'approvisionnement pour les processus commerciaux clés et les données sensibles. Pour les fournisseurs, l'impact d'une non-utilisation temporaire des systèmes et des services doit être analysé. Enfin, il est important de faire avancer le processus d'inventaire, de se familiariser avec les approches de solutions existantes et d'insister ensuite sur ces exigences de la part des fournisseurs.
Enfin, il est clair que les législateurs et les régulateurs ont reconnu le risque et sont en train d'agir. Ceux qui ne saisissent pas cette opportunité risquent de lourdes sanctions et, dans le pire des cas, une exclusion de facto du marché en tant que fournisseur.
Traduction
Cet insight a été rédigé à l'origine en allemand et traduit en français à l’aide de DeepL.com.
Cyber Security