La supply chain toujours aussi vulnérable
Selon une étude publiée récemment, réalisé par ‘Argon Security, intitulé « 2021 Software Supply Chain Security Review », il a été démontré que les attaques de la chaîne d’approvisionnement des logiciels ont connu une hausse de 300 % pour l’année 2021 seulement.
En comparaison à l’année 2020, les choses ont bondi de manière assez spectaculaire. Selon cette analyse, les pirates informatiques ont tendance à s’appuyer beaucoup plus sur :
– La corruption des programmes informatiques open source ;
– La confiance des fournisseurs pour la distribution des logiciels malveillants ou des portes dérobées ;
– Le problème liés à l’intégrité du code ;
– Et l’exploitation du processus de la chaîne d’approvisionnement des programmes informatiques.
Selon ce dernier rapport, la sécurité au niveau des éditions de logiciel, principalement l’environnement dans son ensemble et beaucoup plus faible. Suite à l’évaluation de plusieurs entreprises, il a été observé différents faille de sécurité au niveau des configurations qui demeurent parfois erronées. Ce qui a pour conséquence d’exposer grandement à la fougue des pirates informatiques.
Cet article va aussi vous intéresser : Sécurité informatique : Les supply chain et la cybermalveillance
« Le nombre d’attaques au cours de l’année écoulée et l’impact généralisé d’une seule attaque mettent en évidence le défi massif auquel sont confrontées les équipes chargées de la sécurité des applications », note Eran Orzel, le directeur principal du succès client et des ventes d’Argon. « Malheureusement, la plupart des équipes ne disposent pas des ressources, du budget et des connaissances nécessaires pour faire face aux attaques de la chaîne d’approvisionnement. Ajoutez à cela le fait que pour s’attaquer à ce vecteur d’attaque, les équipes AppSec ont besoin de la coopération des équipes de développement et DevOps, et vous comprendrez pourquoi ce défi est difficile à relever. », ajoute ce dernier.
Aujourd’hui, presque tous les programmes informatiques commerciaux sont équipés de codes informatiques provenant de l’Open Source. Malheureusement, une grande partie de ces codes informatiques sont vulnérables à cause d’un problème en lié à la maintenance. Tout simplement parce que processus de mise à niveau, pour obtenir des versions beaucoup plus sécurisé demande beaucoup d’efforts et de moyens dont ne disposent pas généralement les éditeurs open source.
Dans quel contexte, les pirates informatiques peuvent alors profiter de cet accès privilégié, des mauvaises configurations ainsi que des failles de sécurité pour réaliser leurs actions de cyber malveillance. Dans ce cas de figure, les possibilités qui s’offrent aux criminels ne sont pas si vaste. Et malheureusement au détriment des entreprises et des organisations, les structures informatiques demeurent beaucoup trop vulnérables dans de contexte de Supply Chain.
En effet, il suffit juste d’un mauvais téléchargement de code malveillant, pour endommager toute une infrastructure, et porter atteinte à la qualité des infrastructures.
« Les problèmes courants ici comprennent les données sensibles dans le code, les problèmes de qualité et de sécurité du code, les problèmes d’infrastructure en tant que code, les vulnérabilités des images de conteneurs et les mauvaises configurations », explique Eran Orzel
« Le processus de la chaîne d’approvisionnement des logiciels est un élément essentiel du cycle de vie du développement des applications modernes. Laisser ce large vecteur d’attaque ouvert, menace d’abaisser gravement la posture de sécurité des applications des entreprises, en exposant potentiellement des données sensibles et en créant des points d’entrée supplémentaires dans l’application en cours d’exécution. » ajoute ce dernier.
En guise de conclusion, l’expert déclare : « Dans de nombreux cas, les équipes de sécurité n’ont aucune visibilité sur ce processus jusqu’à ce qu’il soit trop tard, car la plupart des entreprises ne disposent pas de capacités préventives au sein des outils et processus CI/CD. ».
Accédez maintenant à un nombre illimité de mot de passe :