Les attaques de la chaîne d'approvisionnement logicielle «stupides» continuent de prévaloir – FCW

Les attaques de la chaîne d'approvisionnement logicielle «stupides» continuent de prévaloir – FCW

La cyber-sécurité

Un responsable de la NSA: les attaques de la chaîne d'approvisionnement logicielles «stupides» continuent de prévaloir

Par BeeBright shutterstock ID: 789734968

Bien que la plupart des discussions sur la sécurité de la chaîne logistique se soient concentrées sur les composants, les composants et les équipements constituant les actifs informatiques d’une entreprise, un nombre croissant d’experts plaident que des vulnérabilités dans la chaîne logistique des logiciels peuvent représenter la plus grande menace de cybersécurité. le long terme.

A 2018 sondage CrowdStrike, une entreprise spécialisée dans la cybersécurité, a révélé que près de 80% des personnes interrogées ont déclaré que leur entreprise devait consacrer plus de ressources à leur chaîne d'approvisionnement en logiciels et 62% ont déclaré que cette question était négligée lors des décisions de dépense en informatique.

Ce manque d'attention peut créer des voies faciles pour les pirates informatiques malveillants. Selon Cheri Caddy, directrice des partenariats public-privé à la National Security Agency, des vulnérabilités logicielles rudimentaires et facilement exploitables demeurent les moyens les plus couramment utilisés par les mauvais acteurs pour s’intégrer dans les systèmes et les réseaux.

"Je pense qu'une partie du défi dans cet espace consiste non seulement à anticiper les changements dynamiques à venir … mais nous vivons toujours dans un espace où nous n'avons pas encore levé le plus petit dénominateur commun et dont nous parlons encore cyber hygiène ", a déclaré Caddy lors d'un événement organisé par le Conseil de l'Atlantique le 9 octobre. "Nous avons des adversaires qui utilisent toujours les attaques les plus élémentaires et les plus stupides pour la chaîne logistique logicielle et qui remportent un vif succès."

La pratique répandue de réutiliser le code ancien ou à code source libre dans les nouveaux produits ajoute une incertitude quant à l'intégrité du logiciel.

Le Département du commerce tente de résoudre ces problèmes en créant un outil d’évaluation destiné aux entreprises, connu sous le nom de Nomenclature logicielle (SBOM) – essentiellement une liste des différents composants utilisés pour créer une application particulière et leurs origines.

Allan Freidman, directeur de la cybersécurité à la National Telecommunications and Information Administration, a dit aux participants lors de la conférence Black Hat sur les hackers à Las Vegas cette année, l'objectif de ce projet est "que les éditeurs de logiciels et (d'internet des objets) partagent des détails sur les composants, les bibliothèques et les dépendances sous-jacents avec les clients de l'entreprise".

Un groupe multipartite dirigé par la NTIA s'est réuni quatre fois cette année pour préciser les détails de la stratégie, sensibiliser les parties prenantes et structurer le programme pour maximiser les gains.

Selon les dernières notes de réunion, les défis actuels du groupe consistent à partager efficacement les données SBOM, à identifier les outils permettant de générer et de consommer ces données, à déterminer à qui confier le stockage et à développer des modèles pour la langue du contrat.

Strictement commercial

Les secteurs public et privé dépendent en grande partie de la même chaîne d'approvisionnement mondiale. Bien que cela signifie qu'ils partagent un grand nombre des mêmes risques de compromis, leurs choix et stratégies de gestion de ces menaces ont souvent divergé. Le gouvernement fédéral a fait valoir qu'il était impossible de faire confiance aux engins de télécommunications de Huawei dans les nouveaux réseaux 5G, mais de nombreux réseaux de télécommunications ont choisi d'acheter ou de garder l'équipement en place, en invoquant des coûts de remplacement prohibitifs ou en faisant valoir que les risques peuvent être gérés sans interdiction absolue.

"Le gouvernement, l'entreprise de défense, prend ses décisions en fonction de la sécurité nationale. C'est notre pain quotidien", mais nous reconnaissons que le monde des affaires prend ses décisions en matière de risque d'entreprise ", a déclaré Caddy.

Cette dynamique est particulièrement présente dans la sécurité de la chaîne d’approvisionnement, où le gouvernement américain a passé les deux dernières années à alerter les entreprises et leurs alliés étrangers. ne pas utiliser des produits de sociétés telles que Kaspersky basée à Moscou pour les produits antivirus et de sociétés chinoises telles que Huawei, ZTE et autres lors de la construction réseaux de télécommunication. Cependant, les parties prenantes ont exigé des preuves claires de malversations avant de dissoudre les partenariats commerciaux existants ou de détruire et de remplacer les systèmes ou les équipements de fournisseurs suspects.

Après une série de revers avec les alliés européens sur Huawei cet été, les responsables ont exprimé leur frustration devant le fossé qui sépare la ligne dure du gouvernement américain sur les risques posés par ces entreprises et la position plus sceptique de ces entreprises et alliés.

"Le problème est que nous prenons tous des décisions en matière de risque sur différentes bases. Par conséquent, les signaux d'alarme et les signaux d'alarme de la communauté de la sécurité nationale en termes de risque pourraient tout simplement faire hausser les épaules de certains partenaires du secteur privé", a déclaré Caddy.

Bien que les experts du renseignement et de la sécurité nationale affirment avoir tiré des leçons difficiles de ces expériences, les pratiques de sécurité de la chaîne logistique du matériel ne correspondent pas nécessairement à l'espace logiciel.

Par exemple, des responsables du Bureau du directeur du renseignement national ont déclaré que la prise en compte du risque lié à certains produits matériels, leur lieu de fabrication et les lois locales auxquelles ils pouvaient être soumis étaient une considération importante. Cependant, ce n'est pas toujours possible pour les logiciels, où une grande partie du processus de développement se déroule pratiquement au-delà des frontières nationales.

"De nombreuses règles et réglementations que nous avons établies dans d'autres domaines sont plus difficiles avec les logiciels, car la transmission, les défis liés aux logiciels d'origine du pays d'origine rendent difficile toute analogie avec nos pratiques antérieures", a déclaré Brandon Graves, avocat général de cabinet d’avocats Davis, Wright et Tremaine.

A propos de l'auteur

Les attaques de la chaîne d'approvisionnement logicielle «stupides» continuent de prévaloir - FCW 2

Derek B. Johnson est rédacteur principal à la FCW. Il traite de la politique informatique à l'échelle gouvernementale, de la cybersécurité et de toute une gamme d'autres questions technologiques fédérales.

Avant de rejoindre FCW, Johnson était un journaliste indépendant spécialisé dans les technologies. Ses travaux ont paru dans le Washington Post, le GoodCall News, le Foreign Policy Journal, le Washington Technology, le Elevation DC, le Connection Newspapers et le Maryland Gazette.

Johnson est titulaire d'un baccalauréat en journalisme de l'Université Hofstra et d'une maîtrise en politique publique de l'Université George Mason. Il peut être contacté à djohnson@fcw.com, ou suivez-le sur Twitter @derekdoestech.

Cliquez ici pour les articles précédents de Johnson.