Pour décrypter les failles structurelles de la chaîne d’approvisionnement logicielle et les pistes d’action pour mieux la sécuriser, Thorben Jandling, Senior Solution Architect au sein du Global Security Specialist Group d’Elastic analyse les enseignements à tirer de l’affaire XZ et les leviers concrets pour renforcer la résilience collective face aux cybermenaces.
Selon l’ANSSI, les TPE-PME-ETI (37 %) ont été particulièrement touchées en 2024, avec des répercussions particulièrement lourdes sur leurs entreprises utilisatrices. Et pour cause, les cyber-hackers ciblent de plus en plus les fournisseurs de logiciels comme porte d’entrée dans la chaîne d’approvisionnement logicielle. En compromettant ces maillons, weak links, ils obtiennent un accès indirect à leurs véritables cibles : les grandes entreprises et les institutions gouvernementales. La défense contre de telles attaques est complexe, car c’est l’ensemble de la chaîne qui doit être sécurisé.
Cet effet boule de neige des attaques peut avoir des conséquences importantes. Par exemple, l’incident de la bibliothèque de compression XZ découvert en mars 2024. Des cyberacteurs ont tenté d’introduire une porte dérobée dans XZ via des techniques d’ingénierie sociale, modifiant le code source pour obtenir un accès non autorisé. Intégrée dans les logiciels des entreprises clientes, cette porte dérobée aurait pu se propager rapidement à des milliers de systèmes dans le monde, donnant aux attaquants un accès indirect aux infrastructures critiques. Cet exemple montre que la moindre faille peut avoir des conséquences massives et qu’il est essentiel de renforcer les pratiques de sécurité et d’assurer une surveillance continue pour protéger les systèmes contre les attaques potentielles
Les attaques sur la chaîne d’approvisionnement logicielle : un problème structurel
Les fournisseurs de logiciels sont souvent moins sécurisés que les grandes entreprises clientes, qui disposent de systèmes de protection avancés. Le déséquilibre est intense : le budget cyber n’excède pas 2 000€ pour 75 % des PME alors qu’il représente plus de 5 % du budget IT chez les grandes entreprises. La faiblesse des petits fournisseurs constitue un vecteur d’attaque plus facile pour des acteurs étatiques organisés. Sécuriser les chaînes d’approvisionnement n’est pas trivial : chaque entreprise est responsable de sa propre cybersécurité, mais il n’existe aucune instance supervisant l’ensemble de la chaîne. De nombreuses bibliothèques et composants critiques, comme XZ, sont développés par de petites équipes sur une base volontaire. Même conscientes des risques, ces équipes manquent de ressources pour se protéger contre des attaquants disposant de moyens étatiques.
La répartition inégale des ressources rend difficile la mise en place de solutions efficaces : faut-il que les fournisseurs intègrent les coûts de sécurité dans leurs tarifs, ou que les grandes organisations vérifient elles-mêmes la sécurité de leurs fournisseurs ? Ces questions démontrent qu’il s’agit d’un problème structurel complexe, impossible à résoudre individuellement.
Les institutions gouvernementales ont également un intérêt vital à sécuriser les chaînes d’approvisionnement. Des solutions pensées globalement, adaptées aux chaînes d’approvisionnement mondiales, sont indispensables. Parallèlement, les entreprises doivent se préparer au pire via des audits réguliers, des tests de réseau et une communication renforcée entre départements. Une surveillance continue des fournisseurs et des logiciels permet de détecter et corriger rapidement les vulnérabilités. Plus les fournisseurs agissent et communiquent avec transparence, plus vite ils deviennent des maillons fiables de la chaîne.
La défense contre les acteurs étatiques concerne tout le monde. Une cyberattaque, comme celle visant XZ, peut toucher instantanément l’ensemble d’une chaîne d’approvisionnement logicielle et mettre sous pression industries et institutions gouvernementales. Des solutions structurelles communes sont donc nécessaires.
