Saviez-vous que neuf entreprises sur dix ont détecté des risques liés à la chaîne d’approvisionnement en logiciels au cours des 12 derniers mois ? L’augmentation du nombre de dépendances dans une chaîne d’approvisionnement a élargi la surface d’attaque pour les adversaires. Elle a également incité les acteurs de la menace à se concentrer non plus sur la chaîne en aval, qui affecte uniquement les utilisateurs finaux, mais sur la chaîne en amont, qui affecte à la fois les fournisseurs, les clients et les utilisateurs finaux. Sans plus attendre, voyons comment vous pouvez permettre à votre équipe SOC de détecter et de prévenir les attaques de la chaîne d’approvisionnement à chaque étape du développement d’un produit.

Comment détecter et prévenir les attaques contre la chaîne d’approvisionnement ?

Un processus de développement de produits bien planifié, que l’on peut également qualifier de cycle de vie du développement logiciel (SDLC), est la première étape vers la protection de votre chaîne d’approvisionnement. En tant que responsable SOC, sensibiliser vos équipes de gestion des produits et de DevOps aux menaces potentielles qui pèsent sur la chaîne d’approvisionnement constitue votre première ligne de défense contre de telles attaques. Examinons donc en profondeur les différentes étapes d’un SDLC et décortiquons les différentes techniques de détection et de prévention d’une attaque de la chaîne logistique à chaque étape.

Les étapes du SDLC

Description

Planification

  • Il s’agit de la première étape de votre SDLC.

  • C’est l’étape où l’infrastructure de développement de logiciels est mise en place.

  • À ce stade, les organisations se concentrent principalement sur la disponibilité, l’approvisionnement et l’affectation des ressources.

Conception

  • C’est l’étape à laquelle le produit commence à prendre forme.

  • Elle implique un ensemble distinct de procédures pour développer un prototype.

  • Les dépendances logicielles nécessaires à la mise en scène du produit sont déterminées à ce stade.

Implementation

  • L’étape de l’implémentation est celle de l’exécution.

  • L’équipe DevOps, qui est une combinaison de développeurs de logiciels et d’opérateurs informatiques, joue un rôle essentiel dans ce processus.

  • Le logiciel est programmé à ce stade à l’aide d’un code, qui peut être propriétaire ou open source.

Testing

  • Cette étape garantit la qualité du logiciel développé.

  • Le code est exécuté et vérifié pour détecter les bogues, les pépins et les vulnérabilités.

  • Cette étape fait appel à la collaboration de tiers pour les tests d’intrusion et le sandboxing.

Déploiement

  • C’est l’étape au cours de laquelle le logiciel testé est vérifié et attesté à l’aide de certificats de signature de code.

  • Il est essentiel de protéger cette étape, car les attaquants peuvent voler les certificats de signature de code pour créer de fausses identités et inciter les utilisateurs à télécharger des logiciels malveillants.

Maintenance

  • Il s’agit de la dernière étape du cycle de développement durable, qui se concentre sur le fonctionnement transparent et efficace du produit après son déploiement.

  • C’est l’étape au cours de laquelle le produit est continuellement amélioré pour répondre aux exigences des utilisateurs finaux.

  • Elle implique de fréquentes corrections de bogues, des mises à jour logicielles et des correctifs de vulnérabilité.

Meilleures pratiques de planification

  • Créer une nomenclature des logiciels, qui est un enregistrement de toutes les ressources et de tous les processus impliqués dans le SDLC, afin de garder une trace de toutes les activités au cours du processus.

  • Implémenter un modèle de Zero Trust pour vérifier toutes les dépendances et les tierces parties impliquées dans le SDLC.

  • Utiliser une modélisation complète des menaces pour identifier les menaces et les vulnérabilités possibles dans tous les composants de l’infrastructure qui peuvent entraver le SDLC. Déployer une solution SIEM dotée de capacités efficaces de chasse aux menaces pour aider à formuler des modèles de menaces pertinents.

  • Triage des menaces et vulnérabilités connues dans le SDLC afin de planifier des réponses appropriées aux incidents pour les contrer.

Meilleures pratiques pour la conception

  • Mettre en place un processus de vérification afin d’évaluer le niveau de sécurité des organisations des fournisseurs.

  • Évaluer le niveau de risque et la crédibilité des produits des fournisseurs.

  • Segmenter le réseau pour limiter le rayon d’accès des tiers aux ressources internes.

  • Implémenter le principe du moindre privilège pour tous les tiers afin qu’ils ne puissent effectuer que des actions autorisées.

  • Il est également essentiel d’avoir une visibilité sur les activités de ces tiers à moindre privilège dans votre réseau, ce qui peut être réalisé grâce à la mise en place d’un SIEM.

Meilleures pratiques pour l’implémentation

  • Déployer de solides politiques d’intégrité du code pour restreindre les exécutions non autorisées des dépendances du code.

  • Évaluer le code source ouvert dans un outil de sandboxing en ligne pour filtrer les menaces et les vulnérabilités inconnues.

  • Utiliser des outils de protection côté client lors de l’utilisation des services d’un fournisseur de services tiers.

  • Auditer l’informatique parallèle, qui implique la surveillance des ressources non autorisées utilisées par l’équipe DevOps sans l’approbation du service informatique. Les pratiques de shadow IT peuvent être contrées par l’implémentation d’une solution SIEM avec des capacités CASB intégrées.

Meilleures pratiques pour le testing

  • Créer des installations de tests internes pour éviter de dépendre d’outils tiers.

  • Identifier et atténuer les vulnérabilités afin d’éviter les failles et les exploits de type ” zero day “

Meilleures pratiques pour le déploiement

  • Implémenter le kaizen, c’est-à-dire le développement et l’amélioration continus, dans le pipeline de déploiement des logiciels.

  • Intégrer les équipes de sécurité aux équipes de développement pour sécuriser les certificats de signature de code et les référentiels JavaScript.

  • Implémenter des solutions de protection côté serveur pour inspecter toutes les demandes de téléchargement et le trafic du site web. Là encore, le SIEM sera une solution plus efficace pour surveiller toutes les demandes de connexion entrantes et sortantes vers les serveurs.

Meilleures pratiques en matière de maintenance

  • Dresser un inventaire efficace des actifs logiciels afin de suivre toutes les mises à jour et les mises à niveau du logiciel.

  • Implémenter un flux de travail sécurisé pour appliquer régulièrement les correctifs de sécurité et les mises à jour logicielles.

  • Appliquer une sécurité multicouche en utilisant une authentification multifactorielle pour restreindre l’accès non autorisé aux versions du logiciel, aux dépôts de code et aux bibliothèques.

SDLC ManageEngine Log360

Log360 est une solution SIEM unifiée de ManageEngine, la division de gestion informatique de Zoho Corporation. Log360 comprend des modules distincts qui vous aident à sécuriser votre réseau. Pour assurer la sécurité d’une solution comme Log360 :

  • Nous construisons notre produit sur les cadres propriétaires de Zoho et ManageEngine avec une infrastructure interne pour faciliter le développement du produit.

  • Nous ne dépendons pas de ressources open-source ou de plateformes tierces, car chaque module de Log360 est développé à l’aide de code propriétaire, de plugins et d’intégrations de nos produits existants.

  • Le produit subit plusieurs niveaux de validation avant d’être déployé et est ensuite constamment mis à jour et corrigé pour un fonctionnement sans faille.

Ces procédures font de Log360 un produit infaillible, d’une qualité et d’une intégrité absolues. Nous sommes très prudents car une attaque de la chaîne d’approvisionnement est capable d’exploiter la confiance mutuelle entre les différentes dépendances, qui sont indispensables dans le SDLC. Restez donc sur vos gardes contre les attaques de la chaîne d’approvisionnement en implémentant les meilleures pratiques décrites ci-dessus à chaque étape de votre SDLC.

Source : Protecting your SDLC from a supply chain attack  by Sanjana