Pourquoi la sécurité de la chaîne d'approvisionnement est un risque pour l'économie mondiale

Il y a 6 mois

La sécurité de la chaîne d’approvisionnement logicielle aide à protéger tous les composants, processus et activités liés à la création et au déploiement de logiciels. La chaîne d’approvisionnement logicielle englobe l’ensemble du cycle de vie du développement logiciel (SDLC), y compris le code propriétaire et tiers, les interfaces et protocoles, les pratiques et outils de développement, l’infrastructure et les méthodes de déploiement, ainsi que les composants physiques.

Lettres, conférences et plus sur les fonds spéculatifs du deuxième trimestre 2022

Les équipes de développement sont chargées de sécuriser la chaîne d’approvisionnement des produits logiciels et de fournir la preuve des efforts de sécurité aux consommateurs. La sécurité de la chaîne d’approvisionnement est un élément essentiel de la gestion de la chaîne d’approvisionnement axée sur les risques inhérents à la gestion des fournisseurs externes, des fournisseurs, du transport et de la logistique.

Pourquoi la sécurité de la chaîne d'approvisionnement est un risque pour l'économie mondiale

Pourquoi la sécurité de la chaîne d’approvisionnement est-elle un risque pour l’économie mondiale ?

Les opérations quotidiennes de la chaîne d’approvisionnement peuvent être complexes, nécessitant des services et des produits pour atteindre leur cible à temps. Tout ce qui interfère avec un processus peut entraîner des dommages opérationnels, financiers et de réputation importants.

Les chaînes d’approvisionnement modernes ont une grande surface, ce qui augmente le risque de vulnérabilités de sécurité à toutes les étapes de la chaîne d’approvisionnement. Les incidents de sécurité affectant les fournisseurs ou vendeurs tiers peuvent avoir un impact sur d’autres entreprises de la chaîne d’approvisionnement.

Les fournisseurs doivent fournir des contrôles de sécurité plus flexibles et accessibles pour faire face aux pénuries de main-d’œuvre qualifiée, aux risques associés aux services SaaS abordables et à une connectivité élevée. Voici quelques-uns des types d’organisations qui doivent tenir compte de la sécurité de la chaîne d’approvisionnement  :

    /li>

    /li>

    /li>

    /li>

L’hyperconnectivité entre les tiers permet d’accélérer la croissance mais rend les organisations dépendantes de fournisseurs externes pour assurer la sécurité. Dans certains cas, ils peuvent ne pas connaître leurs dépendances, ce qui complique la sécurisation de la chaîne d’approvisionnement.

La protection de la chaîne d’approvisionnement nécessite de comprendre comment fonctionnent leurs contrôles de sécurité des données et où ils s’étendent, ainsi que l’efficacité de leurs passerelles et de leurs processus de gestion des risques. La gestion des risques de la chaîne d’approvisionnement peut être difficile, mais c’est possible. Cela implique d’intégrer les processus de gestion de la chaîne d’approvisionnement dans la stratégie générale de gestion des risques.

Comment assurer la sécurité de la chaîne d’approvisionnement

Les meilleures pratiques suivantes peuvent aider à sécuriser la chaîne d’approvisionnement d’une organisation et à prévenir les attaques qui exploitent l’accès de tiers.

Actifs d’inventaire et privilèges d’accès

Les organisations doivent disposer d’un inventaire détaillé et à jour des actifs. Cette étape comprend l’enregistrement des spécifications pour tous les matériels, logiciels, correctifs, mises à jour et modèles de trafic. Une visibilité élevée est essentielle pour atténuer les attaques sur des composants spécifiques de la chaîne d’approvisionnement, en particulier dans les environnements distribués avec accès à distance.

Cependant, la sécurisation de la chaîne d’approvisionnement nécessite une dimension supplémentaire : l’équipe de sécurité doit également inventorier les privilèges d’accès et les modèles de comportement pour suivre les utilisateurs. De nombreuses entreprises ne parviennent pas à identifier et à cartographier tous les utilisateurs externes accédant à leurs actifs et données d’entreprise, tels que les fournisseurs et les vendeurs, ce qui entraîne un angle mort de la gestion de la sécurité.

Les inventaires d’actifs et d’accès sont essentiels pour mesurer les menaces et suivre les informations d’identification des utilisateurs. Une autre façon de renforcer la confidentialité et la sécurité des données consiste à gérer les privilèges d’accès à l’aide de paramètres clairs et temporaires.

Utiliser des outils de test de sécurité automatisés

Voici des outils de test automatisés populaires qui peuvent aider à renforcer la sécurité de la chaîne d’approvisionnement des logiciels  :

Analyse de la composition logicielle (SCA)

les solutions SCA sont devenues un élément central des piles de sécurité.

Test de sécurité des applications statiques (SAST)

SAST est une technique de boîte blanche qui analyse le code propriétaire.

Tests dynamiques de sécurité des applications (DAST)

Les outils DAST recherchent les problèmes de sécurité dans les applications exécutées dans des environnements de production ou de test. Les outils DAST peuvent trouver des vecteurs d’attaque tels que les injections SQL (SQLi), les scripts intersites (XSS) et les injections de système d’exploitation.

Préparez-vous aux attaques de confusion de dépendance

Il y a des avantages évidents à tirer parti de l’expertise et du travail d’une grande communauté de développeurs, mais cela crée également une dépendance à l’égard de tiers, qui à leur tour s’appuient sur d’autres tiers. Les dépendances ont plus de dépendances, avec une longue chaîne de confiance qui peut être difficile à suivre.

Le principal risque de cybersécurité associé à la longue dépendance et aux chaînes d’approvisionnement est la confusion des dépendances ou les exploits de la chaîne de confiance. Les acteurs malveillants peuvent effectuer des attaques de confusion de dépendances en identifiant les dépendances internes dans la nomenclature du logiciel et en créant des packages malveillants portant le même nom. Les attaques poussent les packages vers des registres publics.

Finalement, les attaquants peuvent exploiter le système de gestion du comportement d’une organisation pour remplacer les composants défaillants par du code malveillant. Ces systèmes fonctionnent en trouvant les dépendances manquantes dans l’environnement où le code tente de s’exécuter, en se basant souvent sur un registre public pour extraire le code.

Le principal moyen de prévenir ces attaques est d’éduquer les développeurs sur les risques de confusion des dépendances. De nombreux développeurs ne sont pas conscients de ces attaques silencieuses.

Améliorer la gestion des risques liés aux tiers

Les organisations doivent étendre les stratégies de gestion des risques à des tiers en utilisant divers moyens. Par exemple, l’inclusion de politiques de sécurité dans les contrats des fournisseurs peut aider à définir des paramètres concernant la gestion du cycle de vie des données, les notifications et les exigences d’évaluation et à créer une base culturelle pour les collaborations de sécurité inter-organisationnelles.

Les organisations doivent également exiger des fournisseurs qu’ils valident leur posture de sécurité en effectuant des tests d’intrusion, en évaluant les cotes de sécurité et en se conformant aux réglementations telles que le RGPD et la certification du modèle de maturité de la cybersécurité.

La réalisation d’évaluations continues des risques et l’intégration d’inspections, de simulations et de questionnaires peuvent aider à tester les capacités de réponse aux incidents et à vérifier que les fournisseurs doivent réagir rapidement et efficacement lors d’incidents de sécurité.

Conclusion

j’ai expliqué pourquoi la chaîne d’approvisionnement des logiciels pose un risque pour l’économie mondiale. Les organisations qui fournissent des services critiques – y compris les hôpitaux, les fabricants et les détaillants alimentaires – gèrent toutes leurs opérations à l’aide de logiciels, qui peuvent contenir des composants inconnus ou non sécurisés. Pour se protéger contre ces risques, les organisations peuvent prendre plusieurs mesures :

  • Actifs d’inventaire et privilèges d’accès – s’assurer que tous les composants de la chaîne d’approvisionnement sont bien compris et disposent du minimum de privilèges possibles
  • Utiliser des outils de test de sécurité automatisés – tester les composants pour les vulnérabilités et corriger ou remplacer si des problèmes sont détectés
  • Préparez-vous aux attaques de confusion de dépendance – prendre des mesures pour empêcher les attaquants malveillants de remplacer des éléments de la chaîne d’approvisionnement par des logiciels malveillants
  • Améliorer la gestion des risques tiers – veiller à ce que tous les tiers (fournisseurs, sous-traitants et prestataires de services) soient soigneusement examinés pour identifier les risques

Espérons qu’en assumant la responsabilité de la sécurité de la chaîne d’approvisionnement et en mettant en œuvre ces mesures et d’autres similaires, les organisations pourront réduire les risques pour leurs propres opérations et pour la société dans son ensemble.

  • Comment identifier et atténuer les risques de DeFi ?
    • Tags:
    Les États-Unis saisissent 18 guichets automatiques cryptographiques achetés à l'aide de prêts SBA frauduleux : Propriétaire arrêté
    Il y a 1 heure
    Coinbase veut que les développeurs construisent des "flatcoins" indexés sur l'inflation sur son nouveau réseau "Base"
    Il y a 2 heures
    Shiba Inules investisseurs restent assis et restent pendant que le prix du jeton fait le mort
    Il y a 2 heures
    bitcoin
    Bitcoin (BTC) 25.907,04 0,46%
    ethereum
    Ethereum (ETH) 1.640,43 0,15%
    tether
    Tether (USDT) 0,929359 0,49%
    bnb
    BNB (BNB) 304,88 0,82%
    usd-coin
    USD Coin (USDC) 0,928432 0,59%
    xrp
    XRP (XRP) 0,424296 0,55%
    cardano
    Cardano (ADA) 0,328095 1,35%
    staked-ether
    Lido Staked Ether (STETH) 1.637,77 0,71%
    dogecoin
    Dogecoin (DOGE) 0,068603 1,86%
    matic-network
    Polygon (MATIC) 1,01 0,01%
    binance-usd
    Binance USD (BUSD) 0,928432 0,58%
    solana
    Solana (SOL) 19,21 0,63%
    polkadot
    Polkadot (DOT) 5,57 0,24%
    litecoin
    Litecoin (LTC) 85,89 1,59%
    shiba-inu
    Shiba Inu (SHIB) 0,000010 0,52%
    tron
    TRON (TRX) 0,059726 1,03%
    avalanche-2
    Avalanche (AVAX) 15,72 1,04%
    dai
    Dai (DAI) 0,928432 0,13%
    uniswap
    Uniswap (UNI) 5,34 0,51%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 25.925,59 0,53%
    chainlink
    Chainlink (LINK) 6,67 0,20%
    cosmos
    Cosmos Hub (ATOM) 10,40 0,82%
    leo-token
    LEO Token (LEO) 3,22 2,18%
    the-open-network
    Toncoin (TON) 1,95 0,95%
    monero
    Monero (XMR) 147,37 3,78%
    ethereum-classic
    Ethereum Classic (ETC) 18,70 0,47%
    okb
    OKB (OKB) 38,87 0,09%
    stellar
    Stellar (XLM) 0,085388 0,22%
    bitcoin-cash
    Bitcoin Cash (BCH) 114,98 1,60%
    filecoin
    Filecoin (FIL) 5,20 1,49%
    aptos
    Aptos (APT) 10,98 0,68%
    true-usd
    TrueUSD (TUSD) 0,928432 0,59%
    hedera-hashgraph
    Hedera (HBAR) 0,056890 0,88%
    lido-dao
    Lido DAO (LDO) 1,98 2,01%
    quant-network
    Quant (QNT) 113,57 1,01%
    crypto-com-chain
    Cronos (CRO) 0,063469 1,48%
    near
    NEAR Protocol (NEAR) 1,79 1,11%
    vechain
    VeChain (VET) 0,021137 1,20%
    arbitrum
    Arbitrum (ARB) 1,19 4,11%
    algorand
    Algorand (ALGO) 0,194412 0,06%
    apecoin
    ApeCoin (APE) 3,75 3,22%
    internet-computer
    Internet Computer (ICP) 4,59 0,33%
    blockstack
    Stacks (STX) 0,900104 1,13%
    eos
    EOS (EOS) 1,05 0,36%
    the-graph
    The Graph (GRT) 0,129833 0,58%
    fantom
    Fantom (FTM) 0,405933 1,21%
    the-sandbox
    The Sandbox (SAND) 0,582861 1,14%
    decentraland
    Decentraland (MANA) 0,543856 0,86%
    elrond-erd-2
    MultiversX (EGLD) 39,32 0,96%
    tezos
    Tezos (XTZ) 1,07 1,55%