Protégez votre supply chain dans le cloud
Les supply chains représentent un risque majeur. Incident après incident, leurs vulnérabilités se dévoilent au grand jour et mettent les entreprises en danger. Pour enrayer la machine, les dirigeants font désormais de la sécurité de la supply chain une priorité. Mais la tâche est loin d’être aisée. Les menaces comme Log4j et SolarStorm ont confronté les entreprises de toutes tailles à des risques jusqu’alors insoupçonnés. Dans un cas comme dans l’autre, il suffit qu’un composant de la stack applicative soit touché pour que l’organisation dans son ensemble devienne vulnérable aux exploits. C’est le principe des attaques de supply chain.
Les recherches menées par l’équipe Unit 42® de Palo Alto Networks ont mis en lumière une menace particulièrement préoccupante pour les responsables. En effet, 63 % du code tiers utilisé pour construire les infrastructures cloud présentent des vulnérabilités. Erreurs de configuration, autorisations octroyées aux mauvais utilisateurs, bibliothèques de code non contrôlées... les risques pour votre entreprise sont nombreux. Heureusement, des solutions existent.
Supply chain dans le cloud : qu’est-ce que c’est ?
La supply chain évoque pour beaucoup des images de biens et de marchandises se déplaçant d’un point A à un point B en un circuit perpétuel. Ce qu’on oublie le plus souvent, c’est que le mouvement de ces objets bien réels est contrôlé par tout un écosystème virtuel d’applications exécutées dans le cloud. Et si l’on pousse ce raisonnement un peu plus loin, les entreprises qui développent leurs propres applications cloud-native créent dès lors une nouvelle supply chain imbriquée dans la première, à la manière des poupées russes.
Les applications cloud-native modernes sont conçues et déployées en trois étapes. La première concerne le provisionnement de l’infrastructure cloud. La seconde consiste à se munir d’une solution d’orchestration de containers Kubernetes®, plateforme sur laquelle l’application sera déployée. Enfin, la troisième et dernière étape vise au déploiement des images de containers en elles-mêmes. C’est sur ces différentes couches que viennent se glisser les erreurs de configuration et les éléments de code vulnérables. Il est donc primordial d’être vigilant.
Nomenclature des composants logiciels : parlons SBOM
Protéger sa supply chain dans le cloud est un processus complexe, mais c’est aussi une excellente opportunité d’en simplifier l’organisation. Dans la majorité des cas, les entreprises choisissent de déployer leurs applications cloud-native dans des containers, ce qui leur permet d’identifier plus facilement les différents éléments qui composent chacun de ces logiciels.
De par leur nature déclarative, les containers incluent d’emblée les informations nécessaires à la création de votre SBOM. L’utilisateur peut ainsi consulter le fichier manifeste du container pour obtenir une liste détaillée de chaque composant.
Aux États-Unis, la place occupée par les SBOM dans les supply chains logicielles devrait prendre de l’ampleur. En effet, le Décret présidentiel 14028 rend désormais obligatoire l’utilisation de ces nomenclatures par les prestataires fournissant des biens et des services aux agences gouvernementales américaines.
Protéger la supply chain dans le cloud : quelques recommandations
La supply chain est une machine complexe, composée de multiples couches, sources et composants. Mais cette pluralité d’éléments ne devrait pas remettre en cause sa sécurité. C’est pourquoi nous avons élaboré une approche en quatre étapes afin de vous aider à mieux la protéger.
Étape 1 : définissez votre stratégie
Cette première étape est essentielle. Il s’agit de définir la stratégie globale qui régira votre supply chain dans le cloud. À commencer par le « shift-lefting », ce fameux virage à gauche qui consiste à déplacer les considérations liées à la sécurité plus en amont dans le processus de développement. Concernant votre stratégie, inutile d’en faire trop. Commencez par définir dans les grandes lignes votre vision ainsi que les rôles et les responsabilités incombant à chacun. Vous aurez ensuite tout le temps d’y apporter les détails nécessaires.
Étape 2 : cernez le processus de création des logiciels
Cette étape nécessitera de vous un petit travail d’investigation pour comprendre où et de quelle manière les logiciels sont créés au sein de votre entreprise. Partez à la recherche des informations qui vous permettront de retracer et de documenter tout leur parcours, depuis le poste de travail du développeur jusqu’à l’environnement de production cloud.
Étape 3 : contrôlez la qualité de vos systèmes de sécurité
Si le contrôle qualité joue un rôle prépondérant dans les procédés de fabrication industriels, les développeurs d’applications cloud ont tardé à s’approprier le concept. Vos contrôles de sécurité seront plus efficaces s’ils sont déployés aux différents points stratégiques du cycle de création de vos logiciels. À vous de les identifier. Automatisez ces contrôles autant que possible pour alléger la charge de travail des équipes de revue de code. Vos ressources sont limitées, utilisez-les à bon escient.
Étape 4 : imposez des certifications
Nos trois premières recommandations concernaient la sécurité des applications que votre entreprise développe en interne. La quatrième et dernière étape consiste à vous assurer de la fiabilité des applications et des infrastructures cloud fournies par vos prestataires. Ce processus passe par l’examen de leurs certifications. Les grands fournisseurs de services cloud sont généralement bardés d’attestations et de certifications délivrées par des organismes tiers. Citons parmi les plus connues les normes SOC2 Type II et ISO 27001, qui évaluent la manière dont les fournisseurs appliquent leurs propres contrôles de sécurité et les font valider par des autorités indépendantes.
Toutes ces certifications vous permettent d’en apprendre un peu plus sur les méthodes employées par vos prestataires pour analyser et évaluer les risques. Les partenaires auxquels vous ferez appel pour votre migration deviendront le prolongement de votre entreprise dans le cloud. Alors, mieux vaut ne pas vous tromper dans votre choix.
En suivant les quatre étapes que nous venons d’évoquer, vos responsables sécurité auront toutes les cartes en main pour non seulement migrer vers une stratégie de sécurité « shift left », mais aussi faire rimer développement avec sécurité. Les entreprises dépendent chaque jour un peu plus des applications cloud-native et des nombreux outils « as a service » à leur disposition. Pour garder le rythme face à cette tendance, déployez sans tarder une stratégie efficace qui vous permettra de protéger votre supply chain dans le cloud.