Maîtriser les risques liés à la chaîne d'approvisionnement

Logiciels, produits, prestations ou encore services cloud: les organisations sont tributaires de leurs fournisseurs et de la sécurité des processus de celles-ci. Philipp Grabher, CISO du canton de Zurich, et Oliver Jäschke, responsable de la sécurité des relations avec les fournisseurs chez Swisscom, expliquent comment gérer les risques liés à la chaîne d’approvisionnement.

Juillet 2024, Texte Andreas Heer           4 Min.

C’est une bibliothèque logicielle discrète portant le nom tout aussi discret de «xz» qui a fait trembler le monde informatique: une porte dérobée sophistiquée qui aurait permis aux pirates (non identifiés) d’accéder à des millions de systèmes Linux. «Aurait», parce que la faille a été découverte à temps, permettant d’empêcher l’accès aux versions stables des distributions Linux courantes.

Qu’il s’agisse de xz, de vulnérabilités dans des logiciels commerciaux ou de paquets malveillants dans des référentiels logiciels tels que le Python Package Index (PyPI) ou le registre npm, les failles de sécurité dans la chaîne d’approvisionnement logicielle représentent un risque réel. Et ce ne sont pas les seules. Les fournisseurs d’autres produits peuvent également être utilisés comme porte d’entrée pour des cyberattaques ou provoquer une interruption des livraisons en raison d’une cyberattaque.

Il n’est donc pas surprenant que la chaîne d’approvisionnement soit une priorité en matière de gestion des risques et de cybersécurité. «Nous y accordons la plus grande importance», déclare Philipp Grabher, CISO du canton de Zurich. Pour Oliver Jäschke, Product Owner Security Assurance chez Swisscom et donc responsable de la sécurité des relations avec les fournisseurs, ce sujet regagne également en importance.

Cet article propose aux entreprises des solutions pour mieux se protéger contre les risques liés à la chaîne d’approvisionnement et aborde les leviers possibles. 

Découvrez les dernières tendances de la cybersécurité et les menaces associées.

«Les risques liés à la chaîne d’approvisionnement sont l’une de nos priorités.»

Philipp Grabher, CISO du canton de Zurich

Sensibiliser aux risques liés à la chaîne d’approvisionnement

Le processus d’approvisionnement joue un rôle décisif dans la gestion des risques liés à la chaîne d’approvisionnement. En effet, différents services sont impliqués dans l’achat de chaque produit, par exemple le service spécialisé, les achats, le service juridique et la sécurité. «La protection contre les risques liés à la chaîne d’approvisionnement est un sujet interdisciplinaire, souligne M. Grabher. Il englobe tous les services concernés.» Cela implique de sensibiliser les donneurs d’ordre aux risques potentiels, souligne Mme Jäschke. La gestion des risques commence donc par la sensibilisation au sein de l’entreprise. «Il est important de disposer d’un processus d’approvisionnement propre, explique M. Grabher. La cybersécurité n’est qu’une des pièces de la mosaïque.»

Il est tout aussi important de clarifier les responsabilités entre les fournisseurs et les donneurs d’ordre, ajoute M. Grabher: «Il faut absolument miser sur la transparence pour savoir qui est responsable de quoi. Cela doit être réglementé, mais c’est souvent un défi.»

Intégrer les fournisseurs dans les réflexions sur les risques 

Les exigences de sécurité convenues contractuellement contribuent à cette transparence. Elles définissent les directives que les fournisseurs doivent respecter. Leur étendue dépend du profil de risque et du type d’acquisition. Pour les logiciels, par exemple, d’autres exigences s’appliquent que celles liées au travail d’un intégrateur de système. «Les critères concernés sont par exemple l’accès à nos systèmes et aux données confidentielles, explique M. Grabher. Nous nous posons également la question de la pertinence du fournisseur pour des processus commerciaux critiques.»  Mais une fois les accords contractuels passés, encore faut-il s’assurer de leur respect.

L’un des objectifs du Supply Chain Management est donc de contrôler régulièrement les fournisseurs, notamment en ce qui concerne le respect des mesures techniques et organisationnelles (MTO) de protection et de sécurité des données. «Il s’agit d’un processus récurrent à intégrer dans la gestion des risques», explique M. Grabher. Chez Swisscom, la cyberdéfense est également impliquée, ajoute M. Jäschke: «Nous contrôlons les principaux fournisseurs dans le cadre du processus de Cyber Threat Intelligence. Cela nous permet de mieux évaluer les risques et de détecter d’éventuelles cyberattaques.»

Développer des logiciels sûrs dans la chaîne d’approvisionnement

Revenons à la chaîne d’approvisionnement logicielle: concernant les logiciels utilisés, il convient de minimiser le risque de vulnérabilités afin d’éviter autant que possible des incidents tels que xz ou «Log4shell», qui a eu lieu en novembre 2021. Les spécialistes accordent la priorité à un développement logiciel sécurisé. Tous deux insistent sur le fait qu’un audit devrait porter sur les aspects suivants pour garantir la sécurité du développement des logiciels: 

  • Mise en œuvre du NIST Secure Software Development Framework (SSDF(ouvre une nouvelle fenêtre))
  • Threat Modeling (identification des points faibles)
  • Test de sécurité statique, dynamique et interactif des applications 
  • Garantie de l’intégrité des référentiels, par exemple sur GitHub 
  • Processus établi pour résoudre et corriger les points faibles 
  • Mesures de sécurité telles qu’un programme bug bounty ou des tests de pénétration réguliers

SBOM: un inventaire pour les logiciels

En cas de vulnérabilité dans les bibliothèques logicielles, les entreprises doivent s’efforcer de vérifier si le logiciel qu’elles utilisent est affecté. Un SBOM (Software Bill of Materials), une sorte d’inventaire, offrirait ainsi plus de transparence. En effet, un SBOM répertorie tous les composants et bibliothèques utilisés d’un logiciel. Si une vulnérabilité est identifiée, le SBOM indique si une application est concernée. Les deux spécialistes saluent donc à l’unisson cette approche: «Avec un SBOM, nous pourrions réagir plus rapidement en cas d’incident.» Mais le SBOM est encore en cours d’élaboration, comme l’admet M. Jäschke. D’une part, pour diverses raisons, tous les éditeurs de logiciels ne sont pas prêts à instaurer la transparence sur les composants utilisés. D’autre part, certaines bibliothèques sont dépendantes d’autres bibliothèques et devraient donc également offrir un SBOM, processus presque sans fin.

Auditer régulièrement les fournisseurs

Un audit permet de vérifier si les sous-traitants et leurs produits répondent aux exigences de sécurité et respectent les accords contractuels. Le service de sécurité des deux organisations en est responsable. «Nous examinons différents aspects de la sécurité, explique M. Jäschke. Outre les mesures de cybersécurité à proprement parler, il s’agit par exemple de la gestion des attaques de ransomware, du Business Continuity Management (BCM) et des directives en matière de protection des données.» Pour M. Jäschke, il est important que le fournisseur comprenne l’utilité d’un audit: «L’objectif est d’avoir la certitude que l’entreprise peut réagir correctement à un incident de sécurité.»

En raison du grand nombre de fournisseurs, il n’est pas possible de procéder à un examen exhaustif de chacun d’entre eux. «Le type de contrôle dépend de la criticité», explique M. Jäschke. Le canton de Zurich aspire à une collaboration plus étroite tant entre les unités administratives qu’avec les communes, ajoute M. Grabher: «Nous essayons de créer des synergies dans la gestion des fournisseurs. Par exemple, en évaluant ensemble les fournisseurs ou en intégrant les expériences des différents départements d’achats.»

«Un audit doit également permettre de s’assurer qu’un sous-traitant est en mesure de réagir correctement à un incident de sécurité.»

Oliver Jäschke, Product Owner Security Assurance chez Swisscom

La gestion de la chaîne d’approvisionnement, une question d’équilibre

Mais tous les fournisseurs de logiciels ne sont pas aussi ouverts à un audit. «Comment contrôler un fournisseur qui ne veut pas créer de transparence?», ajoute M. Grabher. En outre, un audit peut certes mettre en évidence des mesures existantes, mais la question de savoir si celles-ci seront mises en œuvre reste en suspens. «En cas d’incident de sécurité, nous voulons être informés rapidement, explique M. Jäschke. C’est pourquoi la gestion des incidents par le fournisseur de logiciels devient de plus en plus importante lors d’un audit.»

Dans le même temps, les exigences en matière de sécurité constituent un véritable exercice d’équilibre, comme l’admet M. Grabher: «Les grands fournisseurs ont souvent de meilleures mesures de sécurité que les petits fournisseurs. Dans certains cas, il est donc difficile pour ces derniers d’obtenir des commandes.»

La chaîne d’approvisionnement gagne en importance

Grâce à tous les avantages des offres cloud et SaaS, les organisations accroissent leur dépendance vis-à-vis du fournisseur. La sécurité de la chaîne d’approvisionnement et la gestion des risques gagnent donc en importance. «D’une part, être plus dépendant signifie prendre plus de risques, explique M. Jäschke. Mais d’autre part, la sensibilisation à la sécurité s’est accrue, et les mesures de protection se sont améliorées.» 

Tout le monde pourrait bénéficier d’une meilleure protection, souligne M. Grabher: «Si nous améliorons les choses en collaboration avec la chaîne d’approvisionnement, nous tirons tous parti d’un niveau de sécurité accru. Tout le monde en profite.»

Plus sur le sujet