Trois étapes pour sécuriser les chaînes d'approvisionnement logicielles

Le code informatique est la base de chaque technologie, des smartphones aux robots et aux réseaux qui les connectent. Dans le monde numérique d'aujourd'hui, cela fait également du code une partie de la base de nombreuses, sinon de la plupart, des entreprises et des services.

Les pirates informatiques reconnaissent ce fait et en tirent parti. Un exemple récent et très médiatisé est l'attaque contre FireEye qui a utilisé plusieurs mises à jour de cheval de Troie du logiciel SolarWinds. En ciblant les fournisseurs de logiciels, les pirates ont pu installer des portes dérobées dans les entreprises qui, à leur tour, leur ont permis d'atteindre leurs cibles :les agences gouvernementales qui ont reçu des services de ces entreprises.

Cette méthode d'attaque tire également parti de la confiance. Les entreprises, les gouvernements et les autres clients supposent que si une mise à jour de logiciel ou de micrologiciel provient du fournisseur, son installation est sûre. Certains feront confiance mais vérifieront; ils recherchent la valeur de hachage de la mise à jour sur le site Web du fournisseur, puis la comparent au téléchargement. S'ils correspondent, ils supposent qu'il est exempt de vulnérabilités.

Cette confiance crée des opportunités pour les acteurs malveillants capables de manipuler le code source pendant le processus de développement. En conséquence, les utilisateurs téléchargent involontairement un exploit, qui reste souvent silencieux pendant des semaines ou des mois tout en se propageant dans toute une organisation pour finalement attaquer une liste de partenaires, de fournisseurs ou de clients. Comment les organisations peuvent-elles se protéger ?

Évitez les mauvais acteurs. Un programme de gestion des risques de la chaîne d'approvisionnement (SCRM) est essentiel pour atténuer les menaces et les vulnérabilités inhérentes à l'adoption et à l'intégration de produits et services tiers. Il couvre les personnes, les processus et la technologie et couvre plusieurs départements, notamment la sécurité, l'informatique, les ressources humaines (RH), les achats et le juridique. Il est particulièrement important d'étendre le programme SCRM d'une entreprise au cycle de vie du développement logiciel (SDLC). Dans le processus, le programme SCRM crée une culture de sécurité où chacun est un participant et est aligné vers le même objectif.

Au sein du SDLC, un programme SCRM se concentre sur les personnes qui doivent toucher au code et aux ressources associées telles que les ensembles d'outils. Naturellement, ces employés doivent être soigneusement contrôlés au cours du processus d'embauche, y compris des vérifications des antécédents pour identifier tout lien potentiel avec des activités criminelles et/ou des États-nations.

Les entreprises qui utilisent des cabinets de recrutement doivent s'assurer que l'entreprise comprend leurs exigences uniques et spécifiques. Par exemple, les entreprises doivent savoir qui sont leurs agences de recrutement et si elles sont présentes dans des pays qui ont des antécédents de cybercriminalité parrainée par l'État. Lorsque les entreprises traitent des informations exclusives et confidentielles, elles ne veulent pas que les bureaux distants des entreprises de recrutement leur fournissent des curriculum vitae et des candidats qui sont des sources potentielles de menaces internes. Les attaquants des États-nations s'efforcent de plus en plus de faire entrer leurs employés dans des organisations ciblées. Ils ont les ressources financières pour former des personnes, qui démontrent des compétences de codage convoitées et d'autres références recherchées qui élèvent leurs curriculum vitae au sommet de la pile. C'est quelque chose dont les équipes des ressources humaines et les responsables du recrutement doivent être conscients.

Il est possible que certains mauvais acteurs passent à travers les processus de sélection et d'embauche les plus minutieux. C'est pourquoi il est important de surveiller l'activité des employés via un programme de menace interne bien défini pour identifier les comportements inhabituels et suspects tels que l'escalade non autorisée des privilèges et l'accès aux systèmes, programmes et applications.

Un programme SCRM doit également identifier les personnes qui doivent toucher au code et aux ressources associées telles que les ensembles d'outils, puis mettre en œuvre des sauvegardes pour garder tout cela à l'écart de tout le monde. Une fois que le code est sous licence, il doit être la seule source pour les développeurs autorisés, ce qui signifie qu'ils ne peuvent pas importer de code supplémentaire provenant de sources extérieures. Essentiellement, une fois que le code est déjà évalué et contrôlé, les entreprises ne veulent pas que les développeurs sortent pour obtenir du code à partir de nouvelles sources qui n'ont pas encore été évaluées pour les risques de sécurité. Cette meilleure pratique atténue les vulnérabilités telles que les portes dérobées enfouies dans du code non autorisé utilisé involontairement par des développeurs autorisés ou des portails non documentés cachés par des utilisateurs non autorisés.

Scruter et contrôler. La technologie de contrôle strict offre une autre couche de protection. Par exemple, même lorsque les employés sont transférés au sein de l'organisation, envisagez de leur fournir un nouvel ordinateur portable avec une image créée spécifiquement pour leur nouveau rôle et service. Désactivez également tout accès précédemment acquis qui n'est plus requis. Cela permet de garantir que les données et l'accès restent privilégiés.

Le service informatique doit également recréer l'image des ordinateurs flambant neufs avant qu'ils ne soient remis aux développeurs. En utilisant le stock, l'image fournie par le fournisseur pourrait créer des portes dérobées si le système d'exploitation et tout bloatware préinstallé ont compromis le code. Au lieu de cela, créez une image personnalisée et renforcée pour ces appareils.

Tous les nouveaux types de matériel et de logiciels doivent être initialement mis en bac à sable pendant un certain temps. Cela donne au service informatique le temps d'examiner leur comportement, par exemple en passant des appels non sollicités sur Internet pour essayer de récupérer des données. Il crée également une base de référence pour aider à détecter les changements soudains de comportement des mois ou des années plus tard qui pourraient indiquer qu'ils ont été compromis.

Créer une culture de sécurité. C'est beaucoup à considérer, ce qui met en évidence pourquoi SCRM doit être un effort interorganisationnel. Par exemple, le service juridique doit s'assurer que les contrats des fournisseurs et des partenaires contiennent un libellé concernant les audits afin de garantir que toutes les exigences sont respectées. Pendant ce temps, les RH peuvent aider à développer et à appliquer des règles de sélection des candidats.

L'adhésion et le leadership de niveau C sont essentiels pour réaliser ce type d'effort d'équipe et garantir que les ressources sont disponibles pour mettre en œuvre un programme SCRM. Cela produit une culture de la sécurité qui s'étend à l'ensemble de l'organisation et transforme la sécurité d'une réflexion après coup en une partie fondamentale du processus de développement.

Michael Iwanoff est responsable de la sécurité informatique chez iconectiv.