Qu'est-ce que la gestion des risques liés à la chaîne d'approvisionnement (SCRM) ?

Dans le paysage numérique actuel, la protection de la chaîne d'approvisionnement va de pair avec la défense de la cybersécurité. Les organisations faisant de plus en plus appel à des fournisseurs externes et à des logiciels tiers pour répondre à leurs besoins, nous sommes désormais confrontés à toute une série de risques nouveaux qui dépassent le cadre de l'organisation. Et ces risques liés à la chaîne d'approvisionnement peuvent avoir un impact sur tout ce qui concerne l'entreprise, de la conception des logiciels aux produits logiciels déployés.

Dans cet article, nous allons découvrir le concept de gestion des risques liés à la chaîne d'approvisionnement et son rôle dans la cybersécurité. Nous aborderons également la manière d'identifier les risques courants, de développer des méthodes d'évaluation efficaces et de mettre en place des stratégies de sécurité robustes. Nous aborderons également certains des principaux cadres, des cas d'utilisation spécifiques à l'industrie et d'autres bonnes pratiques que les organisations peuvent utiliser pour garantir la sécurité de la chaîne d'approvisionnement.

Qu'est-ce que la gestion des risques liés à la chaîne d'approvisionnement

La gestion des risques liés à la chaîne d'approvisionnement (SCRM) désigne l'ensemble des actions et des processus qui permettent aux organisations d'identifier, d'évaluer et de minimiser les risques impliquant leurs partenaires externes, leurs fournisseurs et leurs prestataires de services. Elle englobe les éléments numériques qui permettent de fournir un produit ou un service.

La gestion des risques liés à la chaîne d'approvisionnement analyse les différentes composantes à la recherche de vulnérabilités avant leur intégration dans l'environnement de l'organisation. Elle met également en place une surveillance afin de détecter les problèmes potentiels qui pourraient survenir ultérieurement. Cette approche vise à assurer la sécurité à chaque point de contact entre le monde extérieur et les systèmes internes.

Les équipes chargées de la sécurité, de l'informatique, des achats, des questions juridiques et des activités commerciales doivent toutes travailler ensemble pour que la SCRM soit efficace. Cette approche transversale garantit la couverture de l'ensemble des risques de sécurité liés aux relations avec les fournisseurs, de la sélection à la gestion des contrats en passant par les contrôles de sécurité périodiques.

Pourquoi la gestion des risques liés à la chaîne d'approvisionnement est-elle importante ?

À une époque où les organisations dépendent davantage des fournisseurs externes et des bibliothèques tierces, la gestion des risques liés à la chaîne d'approvisionnement a pris de l'importance. Aujourd'hui, la plupart des entreprises font appel à des dizaines, voire des centaines de tiers pour les aider à mener à bien leurs activités. Chaque relation comporte des risques de sécurité qui peuvent modifier la posture de sécurité d'une organisation.

De nombreuses applications logicielles modernes sont composées d'éléments provenant de nombreuses sources différentes. Le code d'une application métier comprend généralement des dizaines de bibliothèques et de frameworks tiers. Si l'un de ces éléments présente une faille de sécurité, l'ensemble de l'application peut être compromis. Le problème de dépendance s'applique également aux services cloud, aux fournisseurs gérés et aux fournisseurs de matériel.

Types courants de risques liés à la chaîne d'approvisionnement

Les risques liés à la chaîne d'approvisionnement peuvent prendre la forme de logiciels compromis, d'attaques de services, d'initiés ou d'accès par des tiers, chacun nécessitant ses propres méthodes de détection et de protection. Les types les plus courants sont les suivants :

Attaques par injection de code

Les attaques par injection de code consistent pour un pirate à insérer du code malveillant dans un logiciel légitime, soit pendant son développement, soit pendant sa distribution. Cela peut se produire lorsqu'un pirate accède aux référentiels de code source, aux systèmes de compilation ou aux serveurs de mise à jour. Un exemple bien connu est l'attaque SolarWinds, dans laquelle du code permettant la création de portes dérobées a été inséré dans les mises à jour logicielles et livré à des milliers de clients.

Logiciels compromis

Les composants logiciels compromis constituent un autre risque important. Les bibliothèques open source peuvent accélérer le développement et sont largement utilisées par de nombreux développeurs, mais elles peuvent également héberger des vulnérabilités ou du code malveillant. Lorsque ces composants défectueux sont intégrés dans des applications, ils y transmettent leurs défauts de sécurité.

Violations de la sécurité des fournisseurs

Les failles de sécurité des fournisseurs posent un risque lorsque des fournisseurs ayant accès aux systèmes ou aux données d'une organisation sont victimes d'incidents de sécurité. Si une personne ayant accès au réseau ou à des informations sensibles est compromise, les attaquants peuvent exploiter cette relation et se déplacer latéralement dans l'environnement du client.

Falsification du matériel

Les attaques de la chaîne d'approvisionnement des micrologiciels consistent à compromettre les logiciels intégrés dans les composants matériels. Cela peut inclure l'injection de code malveillant dans les mises à jour des micrologiciels, la compromission des pilotes de périphériques ou la manipulation des processus de démarrage.

Abus du mécanisme de mise à jour

L'abus des mécanismes de mise à jour cible les canaux utilisés pour la livraison des véritables mises à jour logicielles. Les attaquants compromettent ces voies de distribution fiables, ce qui leur permet de diffuser des logiciels malveillants déguisés en logiciels provenant de fournisseurs fiables.

Composantes clés de la gestion des risques liés à la chaîne d'approvisionnement

La gestion des risques liés à la chaîne d'approvisionnement comporte des composantes clés qui, lorsqu'elles sont utilisées conjointement, peuvent être efficaces. Ils forment un écosystème complet permettant de détecter, surveiller et gérer les risques posés par les fournisseurs tiers et leurs composants.

Évaluation et gestion des risques liés aux fournisseurs

L'évaluation des risques liés aux fournisseurs jette les bases de la sécurité de la chaîne d'approvisionnement. Ce processus évalue les pratiques de sécurité des fournisseurs nouveaux et existants avant de leur accorder l'accès aux systèmes ou aux données. Une bonne évaluation examine les contrôles techniques et les politiques de sécurité, passe en revue les incidents passés et évalue la maturité globale en matière de sécurité. Lors de l'évaluation, les organisations doivent disposer d'un questionnaire et d'un système de notation standardisés pour les fournisseurs, ce qui peut aider à les comparer de manière objective.

SCA et nomenclature logicielle (SBOM)

Les outils SCA analysent le code des applications afin d'identifier tous les composants tiers utilisés et de rechercher les vulnérabilités connues dans ceux-ci. Ces outils génèrent une liste complète de toutes les dépendances logicielles et avertissent les équipes lorsque des vulnérabilités sont détectées dans ces composants. La SCA génère généralement une nomenclature logicielle (SBOM) qui répertorie tous les composants d'une application, ainsi que leurs versions, leurs configurations et les vulnérabilités éventuelles.

Planification de la réponse aux incidents pour les attaques de la chaîne d'approvisionnement

Les attaques de la chaîne d'approvisionnement impliquent certains composants uniques que tous les plans de réponse aux incidents ne prennent pas en compte. Il est donc nécessaire que les organisations disposent de plans d'action spécifiques aux compromissions provenant de fournisseurs de confiance. Ces plans doivent se concentrer sur l'isolation des appareils, la prise de contact avec les fournisseurs concernés, la compréhension de l'étendue de la violation et l'atténuation des dommages causés. Les équipes d'intervention ont besoin d'instructions claires sur le moment et la manière de couper l'accès aux fournisseurs compromis et de rétablir les services une fois l'incident terminé.

Comment identifier et évaluer les risques liés à la chaîne d'approvisionnement ?

Il existe une approche systématique pour reconnaître et analyser les risques liés à la chaîne d'approvisionnement, qui combine des ressources techniques et l'analyse des processus métier. Mais les organisations doivent disposer de moyens clairs pour révéler les problèmes potentiels avant qu'ils ne commencent à avoir un impact sur leurs opérations.

L'identification des risques liés à la chaîne d'approvisionnement numérique commence par la création d'une nomenclature logicielle complète (SBOM) de tous les codes tiers, dépendances, conteneurs et services cloud utilisés dans l'ensemble de l'organisation. Cela doit prendre la forme d'un inventaire automatisé qui détaille les composants utilisés dans chaque application, leurs informations de version, leurs vulnérabilités connues et leur importance pour les opérations commerciales.

Les équipes de sécurité doivent intégrer des outils d'analyse aux pipelines CI/CD et collaborer avec les équipes de développement et informatiques afin de s'assurer qu'aucune dépendance, API ou microservice ne passe entre les mailles du filet.

Techniques d'atténuation des risques liés à la chaîne d'approvisionnement

Il existe un certain nombre de stratégies efficaces que les organisations peuvent déployer pour réduire les risques liés à la sécurité de la chaîne d'approvisionnement. Ensemble, ces techniques constituent plusieurs niveaux de défense pour protéger contre les menaces externes.

Exigences de sécurité des fournisseurs

Des exigences de sécurité bien définies dans les contrats des fournisseurs constituent une base solide pour la sécurité de la chaîne d'approvisionnement. Ces exigences doivent inclure des contrôles de sécurité minimaux, des certifications de conformité, des délais de notification des violations et des droits d'audit. Les accords juridiques doivent rendre la sécurité non négociable et permettre aux organisations d'imposer des normes aux fournisseurs, en les tenant responsables de toute faille de sécurité. Ces accords doivent être spécifiques, mesurables et prévoir des conséquences en cas de non-respect.

Vérification de l'intégrité du code

La vérification de l'intégrité du code garantit que tout logiciel entrant dans l'environnement n'a pas été altéré. Cela comprend la vérification des signatures numériques, la confirmation que les sorties de hachage sont conformes et la traçabilité de l'origine de tout code entrant. Les organisations doivent déployer des outils automatisés qui valident l'intégrité des mises à jour logicielles, des bibliothèques tierces et des composants d'applications avant leur installation. Ils empêchent non seulement l'insertion de code malveillant dans la chaîne d'approvisionnement, mais détectent également les modifications non autorisées apportées à des logiciels légitimes.

Accès avec privilèges minimaux

Chaque point d'intégration tiers doit être configuré avec les autorisations API et l'accès au système minimaux nécessaires à son fonctionnement. Cette approche de confinement limite la portée de toute violation, empêchant les composants compromis d'accéder à des systèmes critiques au-delà de leur champ d'application requis.

Redondance des dépendances

La mise en œuvre de sources redondantes pour les paquets et bibliothèques critiques permet aux organisations de limiter les dommages qu'un seul référentiel ou registre de conteneurs compromis pourrait causer. Cette stratégie permet de passer rapidement à des dépendances alternatives si des problèmes de sécurité sont découverts dans un paquet particulier. Le maintien de plusieurs sources vérifiées pour les dépendances clés nécessite des ressources de développement supplémentaires. Pour les composants non critiques, le rapport coût-bénéfice en matière de sécurité peut donc ne pas justifier l'effort.

Tests de sécurité

Les tests de sécurité constants des produits et services tiers permettent de valider les affirmations des fournisseurs en matière de sécurité, par exemple les tests de pénétration, les analyses de vulnérabilité et les revues de code des logiciels fournis. Étant donné que le risque le plus élevé provient souvent des points de connexion entre les systèmes des fournisseurs et les réseaux internes, les tests doivent cibler ces points d'intégration.

Cadres et normes de gestion des risques liés à la chaîne d'approvisionnement

Plusieurs cadres et normes établis aident les organisations à mettre en place des approches structurées en matière de sécurité de la chaîne d'approvisionnement.

Cadre de cybersécurité du National Institute of Standards and Technology (NIST)

Le cadre de cybersécurité du National Institute of Standards and Technology (NIST) comprend des directives spécifiques pour la gestion des risques liés à la chaîne d'approvisionnement. La publication spéciale 800-161 du NIST fournit des instructions détaillées pour identifier, évaluer et répondre aux risques liés à la chaîne d'approvisionnement. Ce cadre utilise une approche à plusieurs niveaux qui aide les organisations à adapter leurs efforts de sécurité à leur niveau de risque et à leurs contraintes en matière de ressources.

ISO/IEC 27036

La norme ISO/IEC 27036 se concentre spécifiquement sur la sécurité de l'information dans les relations avec les fournisseurs. Cette norme internationale fournit des lignes directrices pour la sécurité dans les processus d'approvisionnement et la gestion continue des fournisseurs. Elle aide les organisations à inclure des exigences de sécurité tout au long du cycle de vie des fournisseurs, de la sélection à la résiliation.

Certification du modèle de maturité en matière de cybersécurité (CMMC)

Le cadre de la certification du modèle de maturité en matière de cybersécurité (CMMC) comprend des exigences relatives à la chaîne d'approvisionnement pour les sous-traitants du secteur de la défense. Il définit des contrôles spécifiques que les fournisseurs doivent mettre en œuvre en fonction de la sensibilité des informations qu'ils traitent. Bien que conçue pour le secteur de la défense, de nombreuses organisations utilisent la CMMC comme modèle pour leurs propres exigences en matière de chaîne d'approvisionnement.

Forum sur l'assurance logicielle pour l'excellence dans le code (SAFECode)

Le Forum sur l'assurance logicielle pour l'excellence dans le code (SAFECode) fournit les meilleures pratiques pour le développement de logiciels sécurisés dans la chaîne d'approvisionnement. Cette initiative menée par l'industrie se concentre sur les techniques pratiques permettant d'intégrer la sécurité dans les logiciels dès le début.

Défis liés à la gestion des risques dans la chaîne d'approvisionnement

La mise en œuvre d'une gestion efficace des risques dans la chaîne d'approvisionnement se heurte à un certain nombre de défis majeurs. Pour garantir la protection des dépendances externes, les organisations doivent surmonter ces défis.

Limites de visibilité

La capacité des organisations à visualiser la chaîne d'approvisionnement est incomplète. La plupart des fournisseurs s'approvisionnent auprès de leurs propres fournisseurs, ce qui crée de nombreux niveaux de dépendances difficiles à retracer. Les équipes de sécurité peuvent ignorer les risques potentiels liés aux dépendances open source ou aux relations entre tiers. Cela réduit la transparence et rend difficile la cartographie de tous les points de menace.

Contraintes en matière de ressources

La mise en œuvre efficace de la sécurité de la chaîne d'approvisionnement nécessite beaucoup de ressources. Les équipes de sécurité doivent mettre en balance la rigueur de leurs évaluations des fournisseurs et le temps et le budget dont elles disposent pour les mener à bien. Cela conduit souvent les organisations à concentrer leurs efforts de sécurité sur les principales dépendances et les référentiels de code primaires, tout en négligeant les composants plus petits et les microservices qui peuvent néanmoins représenter des risques de sécurité importants dans la chaîne logistique logicielle.

Sécurité vs efficacité opérationnelle

Des contrôles stricts de la chaîne logistique peuvent interrompre l'activité et retarder des initiatives importantes. Les examens de sécurité peuvent retarder le processus d'approvisionnement, ce qui entraîne des tensions importantes avec les unités commerciales qui ont besoin d'une intégration rapide des fournisseurs. Les organisations doivent mettre en balance les besoins en matière de sécurité et les besoins commerciaux. Une attention excessive accordée à la sécurité peut créer des goulots d'étranglement qui nuisent à la compétitivité, tandis que la priorité accordée à la rapidité peut créer des risques trop importants pour être supportables.

Systèmes hérités

De nombreuses organisations utilisent encore des systèmes hérités qui ne disposent pas de fonctionnalités de sécurité modernes. Ces applications héritées peuvent utiliser des composants obsolètes présentant des vulnérabilités connues, car le fournisseur concerné a depuis longtemps cessé de les prendre en charge. Le problème est que le remplacement de ces systèmes est coûteux et perturbe l'activité. Il convient de prévoir le remplacement à terme des composants hérités, mais dans l'intervalle, les équipes de sécurité devront mettre en place des stratégies pour atténuer ces risques.

Normes de sécurité cohérentes

Il est pratiquement impossible de mettre en place une sécurité cohérente entre différents fournisseurs. Il s'agit d'industries différentes, avec des statuts et des niveaux de maturité en matière de sécurité différents. Un fournisseur de services cloud peut être différent d'un fabricant de matériel informatique. Le défi pour les organisations consiste à créer des techniques d'évaluation suffisamment agiles pour tenir compte de ces différences sans sacrifier la sécurité.

Meilleures pratiques pour la gestion des risques liés à la chaîne d'approvisionnement

L'efficacité de la sécurité de la chaîne d'approvisionnement dépend de l'adoption d'approches cohérentes, ainsi que de la mise en place de registres, de politiques et d'un engagement organisationnel. Les meilleures pratiques suivantes aident les organisations à développer des défenses solides contre les menaces pesant sur la chaîne d'approvisionnement.

Protocoles d'évaluation de la sécurité des fournisseurs

Des processus de test standardisés sont créés pour confirmer que tous les fournisseurs sont évalués de la même manière. Cela doit inclure des protocoles tels que des questionnaires de sécurité, des examens de la documentation et des étapes de vérification alignées sur le niveau de risque du fournisseur. Les organisations doivent créer une approche basée sur les risques et définir les contrôles à effectuer à chaque niveau, c'est-à-dire des contrôles de base pour les fournisseurs à faible et moyen risque et des examens approfondis pour les fournisseurs critiques.

Audits de sécurité réguliers

Des audits aléatoires permettent de vérifier si les fournisseurs mettent en pratique ce qu'ils prônent. Ces examens comprennent, par exemple, des analyses automatisées de code, des tests API dynamiques et des audits d'accès aux référentiels pour les dépendances critiques. Les audits doivent vérifier l'intégrité des pipelines CI/CD, des registres de conteneurs et des référentiels de paquets afin de confirmer la mise en œuvre adéquate des contrôles de sécurité.

Exigences de sécurité dans les contrats

L'intégration contractuelle d'exigences de sécurité détaillées pour les fournisseurs crée des obligations qui peuvent être appliquées. Ces clauses doivent préciser les niveaux minimaux de contrôles de sécurité, les délais de notification des violations, les droits d'audit et les conséquences en cas de non-conformité. Le service juridique doit s'associer au service de sécurité pour négocier une formulation techniquement précise. Les exigences doivent couvrir la protection des données, les contrôles d'accès, la gestion des vulnérabilités et la réponse aux incidents. Les contrats doivent également prévoir des droits de résiliation en cas de violation de la cybersécurité.

Signature et vérification du code

L'utilisation de la signature de code pour tous les composants du logiciel garantit que le code n'est pas modifié après sa création. Les entreprises doivent exiger que le code des fournisseurs soit signé numériquement, avec des méthodes de vérification. Les signatures doivent être vérifiées par des systèmes internes avant l'installation de mises à jour ou de nouveaux composants. Cette étape vise à garantir l'intégrité et l'authenticité du code. Tout code non signé ou mal signé doit déclencher une alerte et son installation doit être interdite.

Culture de sensibilisation à la sécurité

La sensibilisation des employés de toutes les équipes et l'interaction avec les fournisseurs renforcent l'aspect humain de la sécurité de la chaîne d'approvisionnement. Cela comprend la formation du personnel aux normes de sécurité, la formation des développeurs à l'inspection de l'origine des composants et la sensibilisation des équipes commerciales aux risques liés à la sécurité des fournisseurs. Le personnel doit être régulièrement informé des nouvelles menaces pesant sur la chaîne d'approvisionnement et des techniques d'attaque.

Attaques notables contre la chaîne d'approvisionnement

Les incidents de sécurité ci-dessous ont joué un rôle important dans deux attaques majeures contre la chaîne d'approvisionnement.

Attaque SolarWinds

Moins d'un mois après la violation, divers fournisseurs de sécurité informatique et agences gouvernementales de cybersécurité ont conclu que l'attaque SolarWinds (découverte en décembre 2020) était l'une des compromissions de chaîne d'approvisionnement les plus sophistiquées jamais identifiées ou tentées.

Les pirates ont pénétré dans l'environnement de développement de l'entreprise et ont implanté des armes dans le programme de surveillance réseau Orion. Cette mise à jour du logiciel compromis a été signée numériquement et distribuée à environ 18 000 clients. Une fois installé, le logiciel malveillant (baptisé SUNBURST) a créé une porte dérobée, permettant à l'attaquant d'accéder au réseau concerné. L'attaque est restée indétectée pendant des mois, touchant des cibles de grande valeur, notamment plusieurs agences gouvernementales américaines, Microsoft, FireEye et de nombreuses entreprises du classement Fortune 500.

Attaque NotPetya

L'attaque NotPetya de juin 2017 a commencé par des mises à jour de M.E.Doc, un logiciel de comptabilité ukrainien utilisé pour les déclarations fiscales. Les pirates ont trouvé un moyen d'accéder au serveur de mise à jour du logiciel et ont téléchargé un logiciel malveillant détruisant les terminaux, en le faisant passer pour une véritable mise à jour.

Bien que conçu pour attaquer uniquement des organisations ukrainiennes, ce logiciel malveillant autoreproductible s'est rapidement propagé dans le monde entier via les connexions réseau. Le géant du transport maritime Maersk, la société pharmaceutique Merck et le service de livraison FedEx ont subi d'importantes perturbations opérationnelles. Maersk, par exemple, a été contraint de remplacer 45 000 ordinateurs et 4 000 serveurs, ce qui a causé à l'entreprise des dommages s'élevant à plus de 300 millions de dollars.

Conclusion

Alors que les organisations sont de plus en plus souvent victimes d'attaques via leurs fournisseurs externes et leurs dépendances logicielles, la sécurité de la chaîne d'approvisionnement devient cruciale. La complexité des chaînes d'approvisionnement modernes génère souvent des failles de sécurité que les attaquants sont plus enclins à exploiter. Les organisations peuvent se protéger dans une certaine mesure contre ces cybermenaces, mais uniquement lorsqu'elles ont mis en place des approches structurées de gestion des risques.

La sécurité de la chaîne d'approvisionnement repose sur une combinaison de contrôles techniques, de processus d'évaluation des fournisseurs et de sensibilisation de l'organisation. Les organisations doivent avoir une visibilité sur leurs dépendances externes sans compromettre les exigences de sécurité et les besoins commerciaux. Les attaques contre la chaîne d'approvisionnement deviennent chaque jour plus sophistiquées et les équipes de sécurité auront besoin d'outils de nouvelle génération pour les détecter efficacement.

FAQs