Pratiquement dans tous les logiciels d’entreprise : ERP, Comptabilité, Paie, GPAO, etc. sont utilisés des composants Open Source
Synopsys à auditer le code de 1 700 applications commerciales, 96% d’entre elles renfermaient du code Open Source. Surtout, cette empreinte du logiciel libre s’accroit et, avec elle, le risque d’embarquer une faille de sécurité. Un risque d’attaque par la supply chain logicielle qu’a parfaitement illustré la faille Log4j.
87% des bases de codes sources étudiées contenaient des risques et vulnérabilités connus, une absence de mise à jour qui fait peser un risque sur l’ensemble des applications embarquant lesdits composants.
Synopsys
C’est quoi un attaque via la supply chain
Une cyberattaque via supply chain est une attaque informatique sophistiquée qui vise à infiltrer les systèmes d’une entreprise en passant par les fournisseurs ou les partenaires commerciaux avec lesquels elle travaille.
L’objectif est de compromettre les produits ou les services fournis par ces partenaires commerciaux afin d’injecter des logiciels malveillants dans les systèmes de l’entreprise cible. Les logiciels malveillants peuvent être conçus pour voler des informations confidentielles, perturber les opérations ou détruire des données importantes.
Cela peut se produire lorsque les prestataires logiciels n’ont pas suffisamment sécurisé leur propre infrastructure ou leurs processus de développement de logiciels. Les pirates informatiques peuvent également cibler les sous-traitants ou les fournisseurs des prestataires logiciels pour obtenir un accès non autorisé aux systèmes de l’entreprise cible.
Cela peut être très difficile à détecter car les cybercriminels peuvent se cacher derrière plusieurs couches de fournisseurs ou de sous-traitants, ce qui rend la traçabilité des attaques très complexe.
Pourquoi les éditeurs de logiciel utilisent des composants Open Source ?
Les éditeurs de logiciels ont recours à des composants open source pour plusieurs raisons. Tout d’abord, l’utilisation de composants open source permet aux éditeurs de logiciels de gagner du temps et de l’argent en n’ayant pas à développer toutes les fonctionnalités de leur logiciel à partir de zéro. Les composants open source sont des morceaux de code qui ont déjà été développés et testés par d’autres développeurs, et qui sont disponibles gratuitement ou à moindre coût.
De plus, les composants open source sont souvent très bien documentés et bénéficient d’une large communauté de développeurs qui peuvent aider à résoudre les problèmes qui peuvent survenir. Cela signifie que les éditeurs de logiciels peuvent bénéficier d’une grande expertise et d’une assistance technique gratuite ou à faible coût.
Enfin, les composants open source sont souvent plus fiables et sécurisés que les solutions propriétaires, car ils ont été développés et testés par une communauté de développeurs très active et engagée.
Manque de transparence
Les éditeurs ne peuvent pas communiquer sur les composants qu’ils mettent en œuvre dans leur application. C’est complexe, car parfois les mises à jour n’ont pas une compatibilité parfaite avec l’ancienne version du composant.
Ce manque de transparence peut exposer l’intégralité de votre système d’information à des failles qui pourrait vous faire perdre toutes vos données, un chantage avec des sommes à 6 chiffres.
Un composant Open Source c’est comme le surgelé
Vous pouvez soit acheter des frites surgelées prêtes à cuire au four, soit acheter des pommes de terre. Et il y plus de risque dans l’achat de pommes de terre, car il faudra manipuler de la friture.
Les éditeurs de logiciel font le même calcul, soit c’est mieux de tout faire soit même, soit c’est moins fiable ou cela coute trop cher.
80% des développeurs, même s’ils comprennent leur responsabilité, la sécurité n’est selon eux pas leur principale responsabilité
Palo Alto Networks – State of Cloud-Native Security Report
Les interconnexions professionnelles
La plupart des organisations sont désormais connectées numériquement à des centaines de fournisseurs et de vendeurs. Or, les faiblesses du dispositif de sécurité d’un fournisseur peuvent permettre à un cybercriminel d’accéder au réseau et de déployer des logiciels malveillants.
Lors de la mise en œuvre des liaisons que vous pouvez avoir avec vos clients et/ou vos fournisseurs, la cybersécurité n’est pas la priorité, il faut que cela fonctionne, et si possible dans les meilleurs délais.
Lorsqu’une entreprise fait appel à une société de service informatique pour la mise en place d’une macro, d’un développement spécifique ou d’une personnalisation dans un ERP, sa première question n’est pas est ce que cela va être sécurisé vis à vis des attaques de hacker. La première question c’est le prix, et si le prestataire ajoute 3 000 € pour la prise en charge d’un modèle sécurisé, c’est trop souvent une option que l’on verra plus tard.
C’est ce qui est arrivé à la NBA via un fournisseur tiers.
Comment se protéger des failles « Supply Chain »
Si les éditeurs ne réalisent pas toutes les mises à jour, Le DSI Externalisé doit gérer la sécurité autour de l’application, à défaut d’avoir une version sécurisée de celle-ci.
Les règles à mettre en place :
- Protection des bases de données (éviter les mots de passe éditeurs)
- Avoir des mots de passe sécurisés pour tous
- Avoir un bon antispam pour limiter les emails qui tentent d’analyser votre informatique
- Mettre en place un plan de reprise, pour gérer ce risque spécifique
La vrai faille
Le problème de la cybersécurité c’est que cela ajoute une couche à chaque action que l’on réalise au quotidien. Pour que ces actions deviennent automatique et sans effort, il faut commencer par la formation à la sensibilisation à la cybersécurité.
Mais chaque formation doit être adapté au public, ainsi la formation des commerciaux aura des fonctionnalité différente que la formation du service comptable ou des développeur.
En tant que DSI je vous propose de changer d’approche vis-à-vis des risques et de considérer que chaque application est comme une arme chargée, qui contient de nombreuses failles en interne et qui doit être isolée.
Dernière mise à jour
Entre le moment ou j’ai commencer ce post, et le moment de sa publication, la réalité des failles a été encore mise en avant.
- Dernière nouvelle 30 mars : IT Martena fournisseur de service informatique auprès d’entreprises allemandes victime d’une attaque via la Supply Chain.
- Dernière nouvelles 31 mars : 3CX fournisseur de système de télécommunication auprès de 12 millions d’utilisateurs, victime d’un attaque de supply chain.