La NSA et la CISA partagent des conseils pour sécuriser la chaîne d’approvisionnement des logiciels
La National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié aujourd’hui des conseils sur la sécurisation de la chaîne d’approvisionnement des logiciels.
Ce guide est conçu par le Enduring Security Framework (ESF) – un partenariat public-privé qui travaille pour faire face aux menaces contre les infrastructures critiques américaines et les systèmes de sécurité nationale – pour servir de recueil de pratiques suggérées pour les développeurs de logiciels.
« Securing the Software Supply Chain for Developers a été créé pour aider les développeurs à atteindre la sécurité grâce à des recommandations évaluées par l’industrie et le gouvernement », a déclaré l’agence de renseignement du ministère de la Défense.
« Les développeurs trouveront des conseils utiles de la NSA et de ses partenaires sur le développement de code sécurisé, la vérification des composants tiers, le renforcement de l’environnement de construction et la livraison du code. Tant que tous les DevOps ne seront pas DevSecOps, le cycle de vie du développement logiciel sera menacé. »
L’ESF publiera deux autres avis coïncidant avec le cycle de vie de la chaîne d’approvisionnement des logiciels, les deux autres parties de cette série se concentrant sur les fournisseurs de logiciels et les clients.
Vous pouvez trouver des informations détaillées sur la façon de développer du code sécurisé, de vérifier les composants tiers, de renforcer les environnements de construction et de fournir du code en toute sécurité dans l’avis d’aujourd’hui [PDF].
Les conseils ont été publiés après que de récentes cyberattaques de haut niveau comme le piratage de SolarWinds ont mis en évidence des faiblesses dans la chaîne d’approvisionnement en logiciels que les groupes de menaces soutenus par les États peuvent facilement exploiter.
Suite à l’effet boule de neige de l’attaque de la chaîne d’approvisionnement SolarWinds qui a conduit à la compromission de plusieurs agences gouvernementales américaines après que FireEye a révélé que son réseau avait été piraté en décembre 2020, le président Biden a signé un décret en mai 2021 pour moderniser les défenses du pays contre les cyberattaques.
La Maison Blanche a publié une nouvelle stratégie fédérale en janvier, poussant le gouvernement américain à adopter un modèle de sécurité « zéro confiance ». Cela a été motivé par le décret exécutif de Biden et la NSA et Microsoft recommandant cette approche en février 2021 pour les grandes entreprises et les réseaux critiques (Systèmes de sécurité nationaux, ministère de la Défense, Base industrielle de défense).
En mai, le National Institute of Standards and Technology (NIST) des États-Unis a également publié des directives actualisées sur la manière dont les entreprises peuvent mieux se défendre contre les attaques de la chaîne d’approvisionnement.
Un rapport de Microsoft d’octobre 2021 a également révélé que le groupe de menaces Nobelium soutenu par la Russie continuait de cibler l’offre informatique mondiale après avoir piraté SolarWinds, attaquant 140 fournisseurs de services gérés (MSP) et fournisseurs de services cloud et en violant au moins 14 depuis mai 2021.
Les conclusions de Microsoft ont démontré que la chaîne d’approvisionnement des logiciels était devenue une cible de plus en plus populaire pour les acteurs de la menace, car elle leur permet de compromettre un seul produit et d’avoir un impact sur de nombreuses entreprises en aval qui l’utilisent.
Le danger derrière les attaques de la chaîne d’approvisionnement a également été mis en évidence à plusieurs reprises dans des scénarios du monde réel depuis que les acteurs de la menace russes ont compromis SolarWinds pour infecter ses clients en aval, notamment par le logiciel MSP de Kaseya qui a été utilisé pour chiffrer les systèmes de plus d’un millier d’entreprises dans le monde et par comment les modules npm ont été utilisés pour exécuter des commandes à distance.