Ces dernières années, les cyberattaques ont évolué en même temps que nos défenses (sans que cela ne surprenne personne). Les attaquants recherchent et trouvent des moyens nouveaux et innovants de compromettre les actifs et les données, qu'il s'agisse d'attaques contre les utilisateurs finaux, comme le vol d'identifiants et les logiciels malveillants basés sur les navigateurs, ou d'attaques axées sur le cloud, qui exploitent les API et les services natifs du cloud.
Malheureusement, les attaquants de cyber ont également découvert comment nous compromettre par le biais des logiciels, qui sont sans aucun doute le maillon faible de nombreux environnements d'entreprise. Soyons réalistes : un très grand nombre de grandes entreprises ne disposent pas d'un inventaire précis ou actualisé des logiciels, et nous savons souvent très peu de choses sur les développeurs de logiciels qui créent, emballent et nous livrent ces logiciels.
Ce n'est pas parce que nous achetons des logiciels auprès de grands fournisseurs bien connus que des pirates ne se sont pas infiltrés dans leurs environnements et n'ont pas expédié quelque chose de désagréable, à l'insu du fabricant de logiciels. Ce problème est exacerbé lorsqu'il s'agit de petites entreprises et de start-ups - qu'il s'agisse de logiciels packagés, de SaaS, de fournisseurs de logiciels libres ou d'autres services en nuage - en raison de leur manque de ressources consacrées à la sécurité des logiciels.
En bref, la chaîne d'approvisionnement en logiciels est un véritable gâchis.
Si vous dites "SolarWinds" à quelqu'un qui travaille dans le domaine de la sécurité informatique, vous obtiendrez probablement un hochement de tête et un froncement de sourcils - oui, c'était aussi grave que cela. Ils ont été possédés, ils ont expédié, nous avons été possédés, et voilà une chaîne de distribution de logiciels malveillants très élégante à son meilleur.
Nous avons vu l'impact écrasant de la vulnérabilité Log4j dans les environnements de développement, et maintenant les attaquants chargent des paquets et du contenu compromis dans les dépôts de paquets. Plus récemment - et contrairement aux incidents Solar Winds, Log4j ou Codecov - nous avons vu la vulnérabilité XZ Utils, où un attaquant a utilisé l'ingénierie sociale pour s'introduire dans la porte dérobée de l'utilitaire de compression de données open-source largement utilisé dans les systèmes Linux.
Les atteintes aux droits des tiers ne ralentiront pas non plus. Jusqu'à ce que nous commencions à savoir à qui nous achetons des logiciels, où ils se trouvent dans nos environnements, quels sont leurs privilèges, à quoi ils ont accès et, surtout, si nous pouvons leur faire confiance en premier lieu.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Des efforts considérables sont déployés par l'industrie pour renforcer la sécurité de la chaîne d'approvisionnement des logiciels. De nombreux acteurs des secteurs de la sécurité informatique et des logiciels, ainsi que l'ensemble de la communauté de la gestion des risques, ont plaidé pour que les organisations publient et tiennent à jour une nomenclature des logiciels (SBOM) qui puisse être divulguée aux clients à leur demande. Un SBOM est une liste formellement structurée des composants, des bibliothèques et des modules nécessaires à la construction d'un logiciel. En énumérant les composants d'un logiciel, les SBOM donnent un aperçu beaucoup plus approfondi de la vulnérabilité potentielle du logiciel lui-même.
Certains fabricants de logiciels se sont opposés à la création de SBOM, probablement parce qu'ils avaient l'impression de divulguer des éléments sensibles de la propriété intellectuelle. Cependant, nous savons tous que tout le monde utilise des logiciels libres partout. Le SBOM n'est pas un code source ; c'est une liste de paquets et de composants utilisés pour construire des logiciels, dont beaucoup sont très vulnérables aux attaques au fil des ans. Le gouvernement américain fait pression en faveur du SBOM, qui pourrait facilement devenir un élément majeur de la surveillance et de l'établissement de rapports en matière de gestion des risques par des tiers dans un avenir proche.
D'autres domaines d'intérêt dans l'industrie comprennent la création de flux d'attaques de la chaîne d'approvisionnement des logiciels tels que MITRE ATT&CK, un mécanisme universel de signalement des vulnérabilités et une syntaxe pour les bogues de logiciels.
Cette dernière vulnérabilité nous rappelle que les entreprises doivent disposer d'un plan de réponse aux incidents tiers afin de déterminer rapidement l'impact des compromissions de la chaîne d'approvisionnement logicielle sur leurs fournisseurs tiers. Voici quatre bonnes pratiques à prendre en compte :
Cela vous permettra de classer vos fournisseurs en fonction de la criticité des services fournis et de quantifier la probabilité et l'impact d'une violation. Un profilage et un classement précis vous permettent également de dimensionner votre diligence raisonnable en fonction du niveau du fournisseur. Les fournisseurs de niveau élevé (par exemple, ceux dont la défaillance a créé un problème opérationnel pour votre entreprise) font l'objet de la plus grande attention.
La collecte de technologies tierces déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et des tiers sur la base de l'utilisation de certaines technologies. Cela vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Pour ce faire, vous pouvez procéder à une évaluation ciblée ou à un balayage passif.
Engagez proactivement les fournisseurs avec des évaluations simples et ciblées alignées sur les normes de sécurité de la chaîne d'approvisionnement connues de l'industrie, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes de sécurité potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler rapidement ces lacunes.
La vigilance permanente à l'égard de la prochaine attaque signifie qu'il faut rechercher les signes d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de téléchargement d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations dans une solution unique, de sorte que tous les risques soient centralisés et visibles pour l'entreprise.
En partenariat avec Prevalent , j'ai organisé un webinaire sur les meilleures pratiques en matière de sécurité de la chaîne d'approvisionnement des logiciels, qui examine comment une stratégie mature de gestion des risques des tiers peut vous aider à maîtriser les attaques contre vos fournisseurs de technologies de l'information. Regardez ci-dessous Comment évaluer la cybersécurité de vos fournisseurs de logiciels .
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024