Sécurité : L’agence européenne de la cybersécurité s’est penchée sur 24 attaques récentes visant la chaîne d’approvisionnement logicielle et met en garde contre l’insuffisance des moyens de défense.
Par Liam Tung | L’Agence de l’Union européenne pour la cybersécurité (ENISA) a analysé 24 attaques récentes visant les sous traitant de la chaine d’approvisionnement logiciel et a conclu qu’une protection de sécurité forte ne suffit plus.
Les récentes attaques de ce type analysées par l’ENISA concernent notamment le logiciel Orion de SolarWinds, le fournisseur de CDN Mimecast, l’outil de développement Codecov et l’entreprise de gestion informatique Kaseya.
L’ENISA s’est concentrées sur les attaques menées par des menaces persistantes avancées (APT) et note que si le code, les exploits et les logiciels malveillants ne sont pas considérés comme “sophistiqués”, la planification, la mise en scène et l’exécution sont des tâches complexes. Elle note que 11 des attaques visant la chaîne d’approvisionnement logicielle ont été menées par des groupes APT connus.
“Ces distinctions sont cruciales pour comprendre qu’une organisation peut être vulnérable à une attaque de la chaîne d’approvisionnement logicielles, même si ses propres défenses sont assez bonnes. Par conséquent, les attaquants tentent d’explorer de nouvelles voies potentielles pour les infiltrer en se déplaçant vers leurs fournisseurs et en faisant d’eux une cible”, note l’agence dans son rapport.
L’agence s’attend à ce que les attaques de ce type s’aggravent considérablement à l’avenir : “C’est pourquoi il est urgent d’introduire de nouvelles mesures de protection pour prévenir et répondre aux attaques potentielles, tout en atténuant leur impact”, indique-t-elle.
L’analyse de l’ENISA a révélé que les attaquants se sont concentrés sur les fournisseurs dans environ 66 % des incidents signalés. La même proportion de fournisseurs n’étaient pas au courant de l’attaque avant qu’elle ne soit divulguée.
“Cela montre que les organisations devraient concentrer leurs efforts sur la validation du code et des logiciels de tiers avant de les utiliser, afin de s’assurer qu’ils n’ont pas été altérés ou manipulés”, a déclaré l’ENISA, bien que cela soit plus facile à dire qu’à faire.
Comme l’a souligné la Fondation Linux à la suite des révélations sur l’affaire SolarWinds, même l’examen du code source – tant pour les logiciels libres que pour les logiciels propriétaires non vérifiés – n’aurait probablement pas empêché cette attaque.
L’ENISA appelle à une action coordonnée au niveau de l’UE et a présenté neuf recommandations que les clients et les fournisseurs devraient suivre.
Les recommandations pour les clients sont les suivantes :
l’identification et la documentation des fournisseurs et des prestataires de services ;
la définition de critères de risque pour différents types de fournisseurs et de services, tels que les dépendances entre fournisseurs et clients, les dépendances logicielles critiques, les points de défaillance uniques ;
le suivi des risques et des menaces de la chaîne d’approvisionnement logicielle ;
la gestion des fournisseurs tout au long du cycle de vie d’un produit ou d’un service, y compris les procédures de traitement des produits ou composants en fin de vie ;
la classification des actifs et des informations partagés avec les fournisseurs ou accessibles à ces derniers, et la définition de procédures pertinentes pour y accéder et les traiter.
L’ENISA recommande aux fournisseurs :
de s’assurer que l’infrastructure utilisée pour concevoir, développer, fabriquer et fournir des produits, composants et services respecte les bonnes pratiques de cybersécurité ;
de mettre en œuvre un processus de développement, de maintenance et de support des produits qui soit conforme aux processus de développement de produits communément acceptés ;
de surveiller les vulnérabilités de sécurité signalées par des sources internes et externes, y compris dans les composants tiers ;
de tenir un inventaire des actifs qui comprend des informations relatives aux correctifs.
L’attaque de SolarWinds, par exemple, a ébranlé Microsoft, dont le président, Brad Smith, a déclaré qu’il s’agissait de “l’attaque la plus importante et la plus sophistiquée que le monde ait jamais vue.” Des attaquants ont compromis le système de mise à jour du logiciel Orion de SolarWinds pour y implanter une porte dérobée qui a été distribuée à plusieurs entreprises américaines de cybersécurité et à plusieurs agences fédérales.
L’augmentation des attaques de ce type, orchestrées par des groupes cybercriminels liés à des États et le recours à ces tactiques par des groupes cybercriminels, comme dans le cas de l’incident de Kaseya, s’est immiscée dans les discussions entre les États-Unis et la Russie.
Le président américain Joe Biden a déclaré la semaine dernière qu’une cyberattaque majeure serait une cause possible de l’entrée des États-Unis dans une “véritable guerre armée” avec une autre superpuissance.
Source : “ZDNet.com”
L’éditeur de logiciels affirme que 60 clients directs, ainsi qu’environ 1 500 entreprises, ont été touchés par l’attaque.
Sujet: Cybersécurité Cybercriminalité Cyberattaque
Par Liam Tung |
Kaseya : Les fournisseurs de service gérés visés par un groupe de ransomware
05/07/2021
Pour Microsoft, il a fallu plus de 1 000 ingénieurs pour créer l'attaque de SolarWinds
15/02/2021
SolarWinds : Les attaquants ont eu accès au code source de Microsoft
04/01/2021
Des priorités politiques incohérentes compliquent le respect de la protection des données
31/01/2023
TPE PME, et si c’était le moment de changer d’opérateur télécoms ?
Protégez votre messagerie et bénéficiez de 3 mois offerts
Stockage Objet : où en est-on ?
Comment sécuriser votre iPhone en prévention d'un vol
17/01/2023
5 manières de construire un parcours professionnel adapté à vos envies
13/01/2023
Comment automatiquement basculer Opera en HTTPS ?
04/01/2023
Qu’est-ce que Slack Connect et comment l'utiliser ?
21/12/2022
Comment négocier : 5 conseils pour vous aider à conclure un accord
06/12/2022
Recevez le meilleur de l’actualité IT Pro chaque jour dans votre boîte mail
Nous sommes temporairement en mode de maintenance, ce qui signifie que vous ne serez pas en mesure de s’inscrire à une newsletter. S’il vous plaît vérifier à nouveau peu de temps pour reprendre le processus d’abonnement. Merci pour votre patience.
Découvrez notre dossier
Optimisez le potentiel de vos équipes pour le travail hybride
Voir le livre blanc
Nous accompagnons les PME dans leur développement IT. Nous partageons avec vous nos témoignages clients, webinars, livres blancs…
5 dossiers IT à découvrir chaque mois
Télétravail, infrastructure, astuces, innovations…
Découvrez notre nouvelle rubrique
Baromètre : quels usages numériques deux ans après la crise sanitaire ?
31/01/2023
Avertissement sans frais de Microsoft : protégez cette partie essentielle de votre infra serveur
31/01/2023
Un iPad pliable dans les cartons d'Apple pour 2024
31/01/2023
Des priorités politiques incohérentes compliquent le respect de la protection des données
31/01/2023
C'est pour vous ! OpenAI recrute des devs pour améliorer ChatGPT
31/01/2023
PME : plus qu’un opérateur, choisissez votre partenaire télécom
Copyright © 2023 ZDNET, A RED VENTURES COMPANY. ALL RIGHTS RESERVED. CUP Interactive SAS (France). Tous droits réservés.
Mentions légales | Conditions générales d’utilisation | Politique de protection des données personnelles | Cookies | Foire aux questions – Vos choix concernant l’utilisation de cookies | Paramétrer les cookies