Les attaques contre la chaîne d'approvisionnement sont en augmentation, mais de nombreuses organisations ne sont pas prêtes à y faire face. Dans cette lettre d'information LinkedIn, Gonda Lamberink, responsable de la cybersécurité chez Bureau Veritas, explique comment les SBOM vous aideront à vous préparer aux futures menaces de la chaîne d'approvisionnement. Elle souligne que la compréhension du contexte des vulnérabilités, comme le fait de savoir si un logiciel est réellement exploitable, est indispensable pour maximiser la valeur des SBOM.

La menace : la multiplication des attaques contre la chaîne d'approvisionnement

L'utilisation généralisée de composants open-source dans les logiciels et les vulnérabilités telles que Log4j et SolarWinds ont exposé la fragilité des chaînes d'approvisionnement.

En 2024, Sonatype, dans son 10e rapport annuel sur l'état de la chaîne d'approvisionnement en logiciels, indique que les attaques contre la chaîne d'approvisionnement en logiciels ont explosé, doublant par rapport à l'année précédente. En août, plus de 700 000 logiciels libres malveillants avaient été identifiés, soit une augmentation stupéfiante de 156 % d'une année sur l'autre, soulignant l'escalade des risques pour les entreprises qui ne parviennent pas à gérer efficacement leurs dépendances aux logiciels libres.

Malgré l'augmentation des risques pour les chaînes d'approvisionnement, la capacité de réaction des entreprises est faible. Selon le Global Cybersecurity Outlook 2024 du Forum économique mondial (WEF), 55,9 % des dirigeants estiment que les technologies telles que l'IA générative donnent actuellement un avantage aux attaquants, tandis que seulement 8,9 % considèrent que le paysage cybernétique favorise les défenseurs. En ce qui concerne les attaques de la chaîne d'approvisionnement, 54 % des organisations ont une compréhension insuffisante des cyber-vulnérabilités dans leur chaîne d'approvisionnement.

Les SBOM : une partie de la solution

En tant que professionnel du secteur de la cybersécurité, je pense que les SBOM constituent une grande partie de la solution à ce problème de sécurité de la chaîne d'approvisionnement et surtout à un manque actuel de transparence de la chaîne d'approvisionnement en logiciels. Ils ont le potentiel de devenir un élément essentiel des pratiques de sécurité des logiciels : ils peuvent faciliter la collaboration et la responsabilité au sein de la chaîne d'approvisionnement afin d'atténuer les risques.

Tout d'abord, qu'est-ce qu'un SBOM ?

Un SBOM (Software Bill of Materials) est essentiellement une liste détaillée de tous les composants qui constituent un logiciel, un peu comme la liste des ingrédients d'un produit alimentaire emballé, rédigée dans un format standard. Elle répertorie tous les composants logiciels libres et propriétaires. Les SBOM donnent aux organisations une transparence sur leur chaîne d'approvisionnement en logiciels, afin qu'elles puissent mieux gérer leurs risques de sécurité, leurs exigences de conformité et leurs vulnérabilités opérationnelles.

Pourquoi les SBOM sont-ils importants ?

Parce que les SBOM documentent les composants d'un système ou d'un produit logiciel, ils contribuent à créer une visibilité sur les vulnérabilités et les dépendances potentielles. Deux incidents très médiatisés soulignent l'importance des SBOM :

• SolarWinds (2020) : Des attaquants ont injecté un code malveillant pendant le processus de création du logiciel, compromettant ainsi plus de 18 000 clients, dont des agences fédérales et de grandes entreprises. Les SBOM n'auraient pas pu empêcher l'attaque, mais ils auraient apporté un soutien crucial : ils auraient pu aider les organisations à vérifier si elles utilisaient la version logicielle affectée et à agir plus rapidement pour faire face aux risques.
• Log4j (2021) : Tout le monde se souvient de cette attaque. Une faille critique dans une bibliothèque Java largement utilisée a affecté des millions d'applications. Contrairement à SolarWinds, où l'attaque visait un processus, Log4j a mis en évidence les risques liés à la dépendance des composants. De nombreuses organisations ne savaient pas qu'elles dépendaient de Log4j, ce qui a entraîné des retards dans leur réponse. Dans ce cas, les SBOM auraient pu être un facteur de transformation. En donnant aux organisations une visibilité détaillée sur les dépendances logicielles, les SBOM auraient pu permettre d'identifier rapidement l'utilisation de Log4j, de hiérarchiser les mesures correctives et de réduire réellement l'énorme impact de la vulnérabilité.

La pression réglementaire en faveur de l'utilisation des SBOM

Les régulateurs et les décideurs politiques du monde entier ont reconnu l'importance des SBOM. Voici quelques exemples de réglementations et de politiques qui font référence à l'utilisation des SBOM ou qui la rendent obligatoire :

• Cyber Resilience Act (CRA) de l'UE : Exige des SBOM pour tous les produits digitaux afin de remédier aux vulnérabilités des logiciels et de renforcer la responsabilité dans les chaînes d'approvisionnement.
• US Executive Order 14028 : rend obligatoire l'utilisation de SBOM pour les achats de logiciels au niveau fédéral, avec des lignes directrices de la NTIA, du NIST et de la CISA pour en soutenir l'adoption.
• Règles sectorielles : Des secteurs tels que la santé, les transports et les infrastructures critiques mettent désormais l'accent sur les SBOM pour s'aligner, par exemple, sur les directives de la FDA en matière de cybersécurité, la réglementation de la CEE-ONU pour l'homologation des véhicules et la réglementation du NIS2.

Comment utiliser les SBOM dans la pratique

Bien sûr, les formations et les politiques ne sont pas synonymes d'action. Je pense que l'industrie peut faire quelques choses pour aider les SBOM à décoller et je recommanderais aux fournisseurs et aux utilisateurs de logiciels de faire ce qui suit :

• Fournisseurs: Générer des SBOM à chaque étape du cycle de vie du logiciel (source, construction, déploiement) conformément aux formats standard de SBOM largement utilisés tels que SPDX et CycloneDX. Mettre en œuvre des systèmes automatisés pour les mises à jour en temps réel afin de maintenir l'exactitude.
• Intégrateurs: Incorporent les SBOM dans leurs solutions et maintiennent une communication ouverte avec les propriétaires d'assets au sujet de leur utilisation et de leur impact.
• Propriétaires et exploitants d'actifs: Tirent parti des SBOM pour aligner les processus d'approvisionnement, d'exploitation, de gestion des vulnérabilités et de réponse aux incidents sur les meilleures pratiques en matière de sécurité des logiciels.

L'adoption des SBOM devient beaucoup plus efficace lorsque les organisations suivent des normes établies ou encore émergentes, non seulement pour leur génération - comme les formats SPDX et CycloneDX - mais aussi pour leur partage et leur consommation.

En outre, mon principal conseil est d'intégrer les SBOM aux outils existants, notamment l'analyse de la composition des logiciels (SCA), les pipelines d'intégration continue/déploiement continu (CI/CD), les systèmes de gouvernance, de risque et de conformité (GRC) et les solutions de gestion des vulnérabilités, ce qui augmente considérablement leur utilité, surtout s'ils sont utilisés avec d'autres artefacts, tout aussi importants qu'un SBOM, comme un fichier Vulnerability Exploitability eXchange (VEX), contenant l'état et l'impact des vulnérabilités associées à un SBOM.

Cette approche transforme les SBOM d'une liste statique en connaissances exploitables qui renforcent la sécurité, la conformité et les flux de travail opérationnels :

• Les outils d'automatisation peuvent rationaliser la création, la mise à jour, le partage et la consommation des SBOM tout au long du cycle de vie du logiciel, réduisant ainsi les erreurs et augmentant l'efficacité.
• Relier les SBOM à des données contextualisées sur les vulnérabilités, à des flux de renseignements sur les menaces et à des cadres de gouvernance permet aux organisations de traiter les vulnérabilités et les risques plus efficacement.

Ma conclusion : oui, les SBOM changent la donne.

Conclusion : Les SBOM transforment la sécurité de la chaîne d'approvisionnement en répondant au besoin de visibilité et de responsabilité, en particulier dans les industries critiques. Ils fournissent des informations qui permettent aux organisations de gérer les risques et d'identifier les vulnérabilités de manière plus efficace, comme on le voit dans des secteurs tels que l'énergie, où les SBOM jouent un rôle clé pour répondre aux besoins de conformité et maintenir les opérations.

Alors oui, pour répondre à la question au cœur de cet article : Je pense que les SBOM changent la donne en matière de sécurité de la chaîne d'approvisionnement, en particulier lorsqu'ils sont associés à un contexte sur l'exploitabilité des vulnérabilités grâce aux fichiers VEX. Les SBOM identifient les vulnérabilités, tandis que les fichiers VEX aident efficacement à hiérarchiser les risques réels et à y remédier. Aucun des deux ne devrait être un artefact statique : leur plein potentiel est réalisé par l'intégration avec, entre autres, les pipelines CI/CD et les systèmes de gestion des vulnérabilités, l'automatisation garantissant qu'ils sont constamment mis à jour et qu'ils restent exploitables.