Sécuriser la chaîne d’approvisionnement IT : un défi de taille pour 2024
Publié le 06/11/2023
Auteur : Arnaud DUFOURNET, Chief Marketing Officer
Les attaques de la chaîne d’approvisionnement sont en pleine expansion. En 2021, elles ont connu une augmentation spectaculaire de 650 % par rapport à l’année précédente selon le rapport sur la Sécurité 2022 publié chaque année par Check Point. Pessimiste, Gartner prédisait en 2021 que « d’ici 2025, 45 % des entreprises dans le monde auront vécu une attaque sur leur supply chain logicielle ».
Face à l’intensification générale des menaces cyber, l’Europe a construit ces derniers mois tout un arsenal législatif composé d’un paquet de nouveaux règlements et de directives : directives NIS1 puis 2, REC (Résilience des Entités Critiques), règlement DORA pour le secteur financier, réglementation Part-IS pour l’aéronautique ou encore le projet de directive CRA (Cyber Resilience Act). Parmi les nouvelles exigences que ces textes apportent, la sécurisation des prestataires tiers et de la supply chain est devenu un thème récurrent. Concrètement, la relation entre entités régulées et prestataires IT va être profondément impactée.
Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?
Ces dernières années, les grandes entreprises donneuses d’ordre ont élevé leur niveau de cyber-résilience, obligeant les cybercriminels à trouver d’autres portes d’entrée dans les réseaux. De ce fait les sous-traitants, qui sont souvent moins bien armés, sont de plus en plus dans la cible d’attaque. L’interconnexion des systèmes et le haut niveau de sous-traitance IT dans certains secteurs comme la banque, expliquent la forte croissance de ce type d’attaque.
Le principe est assez simple : il s’agit d’une attaque indirecte via les prestataires IT à savoir les fournisseurs de logiciels, d’applications ou de services. Les cyberattaquants se servent des sous-traitants pour rebondir vers leur véritable cible. Les modes opératoires les plus courants sont la compromission du code source d’un logiciel ou d’un composant Open Source d’un logiciel utilisé par un prestataire (par exemple le malware NotPetya), ou bien le vol d’identifiants permettant d’accéder au logiciel du sous-traitant. L’exploitation de vulnérabilités Zéro Day (Log4J par exemple) et le téléchargement de mises à jour de composants Open Source contenant un malware sont généralement le point de départ de ces attaques.
Leur finalité ? Voler des données confidentielles, accéder à des environnements très sensibles ou de prendre le contrôle à distance de systèmes spécifiques. Le but étant soit l’espionnage industriel, la déstabilisation ou l’extorsion de fonds. Souvent complexes et sophistiquées, ces attaques sont généralement l’œuvre d’organisations supportées par des états ou de puissantes organisations criminelles.
Les cibles les plus exposées à ce type d’attaques sont les MSPs (Managed Service Providers), les grands éditeurs de logiciels et les fournisseurs d’équipements informatiques. Ils ont la confiance de leurs clients et cela d’autant plus quand ils fournissent des solutions de cybersécurité.
Les nouvelles exigences réglementaires
Les dernières réglementations (NIS 2 et DORA) adoptées par l’Union Européenne ont pour point commun de s’attaquer au problème de la résilience de la chaine d’approvisionnement IT. Quand on parle dans ces textes de sécurité des données et de résilience, un impératif revient constamment : la capacité à garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement.
Pour rappel, NIS 2 s’appliquera à partir du 17 octobre 2024 et concernera environ 100 000 entités dans l’Union Européenne dont 10 000 en France selon l’estimation de l’ANSSI. Quant à DORA, le règlement rentrera en vigueur le 18 janvier 2025 et s’appliquera à 22 000 entités financières.
Ces décomptes ne tiennent pas compte des sous-traitants qui vont devoir aussi s’aligner sur le niveau de sécurité de leurs clients concernés par ces réglementations.
Concrètement, les sous-traitants visés sont « les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés et les éditeurs de logiciel » selon les termes de la directive NIS2. Il est demandé aux entités essentielles ou importantes « d’intégrer des mesures de gestion des risques en matière de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services direct ».
En clair, c’est par les contrats que les entités régulées doivent organiser la résilience de leur chaîne d’approvisionnement IT. En France, c’est l’ANSSI qui est chargée de la transposition de la directive. Vincent Strubel, son nouveau directeur général, a annoncé aux Assises qu’un projet de loi arrivera au printemps. Il permettra d’en savoir plus sur les mesures de cybersécurité que les entités régulées et leurs prestataires IT devront mettre en œuvre pour se conformer à NIS 2.
Quels impacts pour les prestataires IT ?
Tous les prestataires IT travaillant actuellement avec des entités régulées ou bientôt régulées, ne partent évidemment pas au même niveau en termes de gestion des risques cyber. Par exemple, les grandes ESN qui ont en gestion des SI d’opérateurs d’importance vitale, sont déjà très avancées. Les réglementations vont toutefois rajouter une pression contractuelle supplémentaire et renforcer la nécessité de collaboration avec leurs clients.
L’impact RH n’est pas à négliger car une résilience durable passe obligatoirement par un maintien constant des compétences et des savoirs ; ce qui implique des formations régulières. Dans un secteur où la pénurie de talents et le turnover sont élevés, le défi à relever s’annonce de taille.
Du côté des éditeurs de logiciels, ceux qui sont déjà dans des démarches de certification/qualification régulières auprès de l’ANSSI, sont bien armés pour répondre aux exigences réglementaires. C’est par exemple le cas de TheGreenBow. Avec une première qualification niveau standard et un agrément DR OTAN obtenus en 2013 pour son Client VPN Windows, TheGreenBow est habitué à être régulièrement audité et testé sur sa capacité à mettre sur le marché des logiciels de confiance.
Les efforts devront en revanche redoubler en ce qui concerne la veille sur les vulnérabilités mais aussi en matière de communication et de transparence. Sur ce sujet, la nouvelle Loi de Programmation Militaire (LPM) 2024-2030 publiée au JO le 2 août dernier, va plus loin en imposant aux éditeurs de logiciels un devoir de transparence en cas de vulnérabilité y compris sur les librairies ou composants Open Source embarqués. L’article 66 précise qu’« en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits », les éditeurs sont tenus de communiquer auprès de l’ANSSI et de tous leurs clients. La vulnérabilité Log4Shell (vulnérabilité portant sur le composant logiciel de journalisation Log4J) révélée fin 2021 est un très bon cas d’école. Bien que non impacté, TheGreenBow avait publié une alerte de sécurité pour tenir informés ses clients.
Sécurité des communications distantes et conformité : quels nouveaux besoins ?
La directive NIS rappelle une nouvelle fois la nécessité de protéger les communications avec des solutions de chiffrement. Le guide d’hygiène de l’ANSSI, qui servira très probablement une nouvelle fois de référence pour les mesures de sécurité à mettre en œuvre, préconise l’usage de tunnels VPN IPsec pour protéger les connexions distantes au SI.
Comment ceci se traduit-il en termes de besoins pour les prestataires IT ? Compte tenu des impératifs de communication en cas d’incident, il est plus prudent pour eux de se tourner vers les solutions de cybersécurité les plus robustes et les plus fiables ; c’est-à-dire celles disposant de visas de sécurité de l’ANSSI.
Concernant l’usage de tunnels VPN pour accéder aux SI d’entités régulées, les prestataires IT vont devoir se montrer plus agiles et plus flexibles dans la gestion de ces tunnels et notamment de leurs configurations. En effet, une certaine agilité sera requise pour être capable de jongler entre différents SI de clients, différents collaborateurs et différents équipements accédant à ces SI, tout en garantissant un haut niveau de sécurité.
C’est pour répondre à cet enjeu que TheGreenBow rend ses Clients VPN compatibles avec le référentiel IPsec DR publié par l’ANSSI au printemps dernier, et a fait une nouvelle demande de certification/qualification pour son Client Windows. Toujours dans cet esprit de renforcer le niveau de confiance, TheGreenBow développe depuis l’an dernier des fonctionnalités orientées ZTNA qui accompagnent l’ouverture de tunnels IPsec. Par exemple, le mode filtrant du Client Windows Enterprise propose un filtrage DNS qui permet de bloquer des attaques de type Command and Control pouvant être dissimulées dans des mises à jour logicielles.
Enfin, pour répondre au besoin de flexibilité et de segmentation des clients et des utilisateurs, TheGreenBow a lancé le Connection Management Center. Cette console permet de créer, centraliser et distribuer rapidement des configurations VPN. Sa vocation est également de gérer des règles de sécurité orientées ZTNA pour conditionner les ouvertures de tunnels comme par exemple des règles liées à la conformité du poste qui demande une connexion distante.
La sécurité de la chaine d’approvisionnement IT et la mise en conformité par rapport aux nouvelles réglementations soulèvent beaucoup de questions. Nous avons pu le mesurer lors de notre atelier aux Assises 23 qui traitait ce sujet. Une journée de conférences sera encore consacrée à ce thème lors de l’European Cyber Week. L’équipe TheGreenBow sera présente avec un stand pour répondre à vos interrogations et discuter de vos projets.
