Nouvelles cibles de prédilection de certains acteurs de la cybermenace, les chaînes d’approvisionnement (supply chain) logicielles, internes comme externes, représentent des vecteurs d’attaque critiques, nécessitant une vigilance accrue des entreprises et des stratégies de sécurité renforcées à chaque étape de développement et de déploiement.
Dès qu’une entreprise crée des logiciels, qu’ils soient commercialisés ou non, elle peut être qualifiée d’éditeur de logiciels. Pour ces éditeurs de solutions, la supply chain logicielle représente une cible pour les cybercriminels cherchant à infiltrer les systèmes, à accéder aux données et parfois même à celles de clients, de partenaires ou de fournisseurs. De nombreuses entreprises attaquées, dont les systèmes ont été compromis par des pirates qui ont trouvé une clé d’accès ou un moyen d’affaiblir leurs défenses, l’ont été via la supply chain logicielle.
Comment être sûr d’avoir une supply chain logicielle sécurisée ?
La supply chain logicielle couvre chaque étape du cycle de vie du développement logiciel (SDLC), de la planification au déploiement, ainsi que les personnes, les outils et les systèmes impliqués dans la production du logiciel déployé. Il peut s’agir des environnements de codage utilisés par les développeurs, des frameworks ou librairies tiers, des systèmes de contrôle de versions, des outils de gestion et d’orchestration des conteneurs, des outils d’intégration et de livraison continues (CI/CD), des outils de test, etc.
Les attaquants ciblent les vulnérabilités de la supply chain souvent moins sécurisée que les systèmes de production. Les failles dans les systèmes de pré production et les périphériques peu protégés sont des points d’accès fréquemment exploités par les attaquants, tout comme les fuites de clés d’accès