Bien que l’infrastructure du cloud continue d’être adoptée par un plus grand nombre d’entreprises, elles ne sont pas les seules à avoir reconnu son potentiel. Ces dernières années, on a assisté à une augmentation sans précédent de l’ampleur et de la sophistication des attaques de la chaîne logistique logicielle. Que ce soit l’attaque de la chaîne d’approvisionnement du logiciel SolarWinds ou à vulnérabilité exposée d’Apache Log4j, les acteurs de la menace ont jeté leur dévolu sur cet espace, ciblant les vulnérabilités critiques des fournisseurs de cloud et des chaînes d’approvisionnement.

Le cloud computing en lui-même a connu de multiples vulnérabilités ces derniers temps. Et tandis que les entreprises continuent d’adopter le cloud, 35% d’entre elles gèrent plus de 50% de leurs charges de travail sur des plateformes comme Azure, AWS et GCP, elles ont du mal à gérer la complexité de la sécurisation de leurs infrastructures cloud sur plusieurs plateformes cloud, et souffrent également d’une pénurie de cyber compétences et de connaissances, dans la sphère du cloud. Nous en avons eu la preuve en mars lorsque le célèbre gang de ransomware Lapsus$ a publié une déclaration affirmant avoir accédé à Okta, une plateforme de gestion des identités, en obtenant l’accès à un compte administrateur. Okta est un logiciel basé sur le cloud utilisé par des milliers d’entreprises pour gérer et sécuriser les processus d’authentification des utilisateurs. Il est également utilisé par les développeurs pour créer des contrôles d’identité. Cela signifie que des centaines de milliers d’utilisateurs dans le monde entier pourraient avoir été compromis par l’attaque Lapsus$.

Mais le nombre exact est sujet à discussion. Les pirates ont eux-mêmes affirmé avoir eu accès à 95 % des clients d’Okta, alors que ce dernier a suggéré que seulement 2,5 % des détails des utilisateurs ont été compromis. Quoi qu’il en soit, l’incident doit servir de signal d’alarme quant aux risques potentiels posés par les attaques de la chaîne d’approvisionnement.

Qu’est-ce qui met une chaîne d’approvisionnement en danger ?
Le secteur a vu un nombre croissant de cyberattaques qui exploitent les faibles protocoles de la chaîne d’approvisionnement. Actuellement, le risque le plus important pour la chaîne d’approvisionnement auquel les entreprises sont exposées provient des logiciels open-source. La communauté open-source fournit de nombreux modules et paquets qui sont régulièrement adoptés par les entreprises du monde entier, y compris celles de votre chaîne d’approvisionnement.

Le problème avec les logiciels open-source, cependant, est qu’ils sont par nature peu sûrs. En effet, c’est en partie parce qu’ils sont écrits par des personnes qui n’ont peut-être pas l’expertise ou le budget nécessaires pour les rendre complètement sûrs. L’autre problème avec le code open-source concerne la propriété. Après tout, une fois qu’un paquet est publié dans la communauté, il est impossible de déterminer qui en est le propriétaire et qui est responsable de sa maintenance.

Ceci crée une faille dans votre architecture de sécurité car les paquets open-source que vous importez risquent de présenter des dépendances dont vous n’êtes tout simplement pas au courant. C’est exactement ce qui s’est passé avec NotPetya : évolution d’une chaîne de malwares assez standard, NotPetya a réussi à infiltrer des systèmes dans le monde entier en s’appuyant sur un logiciel de comptabilité open-source largement utilisé. Elle s’est donc répandue comme une traînée de poudre, provoquant le chaos en Ukraine ainsi que dans plusieurs grands pays, dont le Royaume-Uni, la France, l’Allemagne, la Russie et les États-Unis.

L’omniprésence des logiciels et codes open-source signifie qu’il peut être difficile pour les entreprises de savoir si elles ou leurs fournisseurs sont sensibles à ce type d’attaque. Cela fait des chaînes d’approvisionnement une cible séduisante pour les cybercriminels qui investiront du temps et des ressources dans ces attaques, puisqu’il est évident qu’en violant un système, ils peuvent rapidement accéder à de nombreux autres.

Comment prévenir les attaques potentielles ?
Jusqu’à présent, en 2022, nous avons assisté à un changement sismique dans le paysage des menaces liées au cloud, car de plus en plus d’acteurs de la menace ciblent les vulnérabilités critiques des fournisseurs de cloud et des chaînes d’approvisionnement. Qu’est-ce que cela signifie pour votre entreprise, et comment pouvez-vous éviter cette menace croissante ?

Malheureusement, lorsqu’il s’agit de votre fournisseur de cloud, peu importe celui que vous choisissez, sa plate-forme présente des vulnérabilités. Vous pouvez effectuer toutes les recherches du monde et faire appel au savoir-faire des meilleurs experts du secteur, mais vous ne pouvez pas contrôler la sécurité de la plate-forme du fournisseur que vous avez choisi.

Donc, si nous ne sommes pas en mesure d’empêcher une violation au sein même des fournisseurs de cloud, que peuvent faire les entreprises pour se protéger ? Nous vous proposons quelques mesures importantes à prendre :

La sécurité multicouche : La réponse consiste à créer plusieurs couches de sécurité qui se chevauchent et qui contribuent à réduire votre exposition au risque. Les entreprises ont tendance à élaborer des mesures d’atténuation en matière de sécurité comme unique point de protection et de contrôle, et les attaquants tenteront de les contourner. Une application de la sécurité qui part du principe que le premier niveau peut échouer et qui applique des couches multiples aura plus de chances de survivre à une cyberattaque sophistiquée. Cela signifie que même si une vulnérabilité de votre fournisseur de cloud venait à être exploitée, vous disposez d’un écosystème de sécurité suffisamment robuste pour parer aux attaques et atténuer les éventuelles retombées.

Adopter un état d’esprit de sécurité « Zero Trust » : Un bon point de départ pour aider les entreprises à se protéger est d’adopter un état d’esprit de sécurité de type « Zero Trust » Par conséquent, même en cas de violation, les données de votre entreprise sont protégées, en contenant toute menace posée par une attaque basée sur le cloud et en veillant à ce qu’elle ne puisse pas se propager dans vos propres systèmes.

Automatiser DevSecOps : Une autre façon pour les entreprises de s’assurer que les portes virtuelles de leur réseau restent fermement verrouillées est d’automatiser leur DevSecOps, afin que les opérations de sécurité puissent être déployées en temps réel et en totale adéquation avec les autres objectifs commerciaux. À titre d’exemple, Check Point CloudGuard propose des outils de sécurité automatisés destinés aux développeurs pour assurer que tout le code est sécurisé dès le départ avant d’être déployé. Il analyse l’infrastructure as-code et le code source pour éliminer les menaces dès la première phase.

Vu la vélocité des variantes de malwares et de ransomware, la croissance généralisée des appareils connectés et personnels des entreprises et le modèle de travail hybride, il est presque impossible pour les modèles traditionnels créés par l’homme de fournir une sécurité exhaustive et actualisée qui permettrait de détecter des menaces telles que l’exploit de la vulnérabilité Apache Log4j et les attaques de la chaîne logistique. Les entreprises devraient envisager une approche de la cybersécurité qui met l’accent sur la prévention des menaces et offre une visibilité à 360 degrés de l’ensemble de leur réseau, quelle que soit l’étendue de sa distribution.