Face à des cyberattaques de plus en plus sophistiquées visant spécifiquement les chaînes logicielles, les entreprises doivent innover en matière de pratiques de développement et de transparence pour réduire les risques et renforcer la sécurité du logiciel. Sudhakar Ramakrishna, CEO de SolarWinds, revient en 3 questions sur ces risques et les bonnes pratiques qui ont émergé après les premières attaques de ce type.
Dans quelle mesure le paysage de la cybersécurité a-t-il évolué au cours des dernières années ?
Plusieurs cyberattaques récentes ont bouleversé la perception des menaces collectives auxquelles nous faisons face. Les acteurs de menaces orchestrées par des États-nations sont capables de perpétrer des attaques imprévisibles et extrêmement sophistiquées, bien pires que celles que même les cyberexperts les plus respectés ont déjà vues. Malheureusement, même les entreprises les plus compétentes et ingénieuses n’ont pas été épargnées. Ces incidents révèlent la nature asymétrique du paysage moderne des menaces, au sein duquel il suffit qu’un acteur de menaces réussisse une fois, alors que les entreprises doivent continuellement réussir à les neutraliser.
Puisque les acteurs des cybermenaces ont développé de nouveaux outils et procédés pour perpétrer plus rapidement des attaques de plus en plus sophistiquées, le secteur doit impérativement poursuivre ses efforts pour protéger notre cyberinfrastructure partagée. Heureusement, le secteur a pris plusieurs mesures importantes en collaboration avec l’agence CISA aux États-Unis et d’autres partenaires gouvernementaux dans le monde entier. Nous sommes fiers d’avoir participé à ces initiatives en demandant des partenariats solides entre les secteurs privé et public, ainsi que le renforcement du partage d’informations au sein du secteur. Le seul moyen de sécuriser notre infrastructure partagée est de reconnaître que la cybersécurité est un véritable outil de veille communautaire assurée par le gouvernement.
AUCUNE entreprise ou agence n’est à l’abri des attaques qui menacent sa sécurité. L’expertise, les ressources et la vigilance de la victime, ainsi que son engagement en matière de sécurité, n’ont aucune importance dans le paysage asymétrique des menaces. Cela ne veut pas dire qu’il n’y a rien à faire. Nous devons faire preuve d’une vigilance constante et continuer à apprendre via des partenariats entre les secteurs public et privé.
Quelles nouvelles mesures les entreprises peuvent-elles prendre pour mieux empêcher les attaques ciblant la chaîne logicielle ?
Les acteurs des cybermenaces sont déterminés, persistants. Nous savons tous qu’il est impossible pour les entreprises, même les plus importantes et prospères dans le secteur des technologies, d’empêcher des États-nations hostiles d’attaquer une chaîne logicielle. Et pourtant, toutes les entreprises peuvent prendre de nouvelles mesures essentielles en commençant par changer l’environnement de compilation tout en faisant preuve de plus de transparence.
Il est donc primordial d’améliorer et de perfectionner les pratiques de développement et de compilation de logiciels pour changer la surface d’attaque et limiter les opportunités d’attaque. Les innovations visant à renforcer l’intégrité des processus de compilation, y compris les systèmes de compilation parallèle, peuvent limiter considérablement les menaces ciblant la chaîne de valeur logicielle.
Les entreprises doivent faire preuve d’une transparence accrue pour ce qui est du code de leurs logiciels. Ainsi, si une menace infecte une portion du code qu’elles utilisent, les clients et le secteur peuvent comprendre l’étendue de la menace. Il faut savoir que les applications les plus modernes contiennent du code open source, et certaines études récentes ont permis d’y déceler une foule de vulnérabilités que les acteurs de menaces peuvent exploiter. Chaque société de logiciels doit adopter la nomenclature logicielle (SBOM) et partager en toute transparence les sources du code de leurs produits. Cela limite les impacts en aval des vulnérabilités, car elles peuvent être repérées et neutralisées.
Lorsque des attaques de la chaîne logicielle se produisent, comment les entreprises devraient-elles réagir d’un point de vue commercial ?
Je conseille à une entreprise qui se trouve dans cette situation d’en informer rapidement les clients et parties prenantes affectés. Il est nécessaire de faire preuve de transparence plutôt que de faire l’autruche en espérant que le problème va disparaître. De nombreuses entreprises préfèrent ne pas faire face au public ou s’en tirent en partageant le moins d’informations possible. Toutefois, en n’exposant pas la situation ou en en minimisant la gravité, les conséquences à long terme seront plus graves pour les clients et l’entreprise.
Pour protéger les clients, il est essentiel de divulguer les cyberincidents de manière responsable. La pratique établie consiste à divulguer un incident une fois que l’entreprise a développé une solution qui a fait ses preuves : c’est la bonne méthode de divulgation à adopter. Elle implique donc le développement accéléré de correctifs afin de pouvoir les partager lorsque l’on annonce publiquement l’incident.
Le processus de rétablissement de la confiance des clients peut sembler long, mais il ne peut commencer que si les mesures initiales nécessaires sont prises. Il est primordial de privilégier ses clients et ses employés, et notamment fournir aux clients les informations dont ils ont besoin pour sécuriser leurs environnements. Pour ce qui est des employés, n’oubliez pas que votre équipe aidera l’entreprise à surmonter le problème. Même s’ils travaillent jour et nuit pour atténuer les impacts d’une attaque, il est crucial de s’assurer qu’ils prennent soin d’eux-mêmes, et reconnaître tous leurs efforts, ainsi que leur engagement.
____________________________
3 questions à Sudhakar Ramakrishna, CEO de SolarWinds
puis