Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Stopper les attaques de la chaîne d'approvisionnement grâce à la segmentation "Zero Trust" (confiance zéro)

Illumio Editorial
Illumio Editorial
Mai 19, 2021
23 min. lire

La section 4 du décret de l'administration Biden sur l'amélioration de la cybersécurité de la nation se concentre sur la chaîne d'approvisionnement. Je n'ai pas été surpris.

La chaîne d'approvisionnement est particulièrement difficile à sécuriser en raison de sa complexité.

Prenons l'exemple de la construction automobile. Dans ce secteur, les ingénieurs conçoivent chaque pièce : châssis d'automobile, composants de moteur, pièces et sous-composants - spécifiquement pour chaque véhicule. Chaque élément a des spécifications qui garantissent la durabilité et la sécurité.

Inversement, pensez au processus de validation du concept (POC) et d'approvisionnement d'un acheteur de sécurité. Dans de nombreuses circonstances, la conformité exigera des solutions ou des états finaux souhaités qui peuvent être traités par un certain nombre de produits. Il est rare qu'il existe un ensemble défini de spécifications sur lesquelles le fournisseur s'appuie pour construire. À quand remonte la dernière fois que votre fournisseur de pare-feu a fabriqué un produit sur mesure pour vous ?

Bien sûr, vous pouvez adapter la configuration, mais il n'est pas conçu sur mesure pour votre objectif spécifique et rien d'autre. Au lieu de cela, le fournisseur crée un produit dont l'applicabilité est la plus large possible afin de s'approprier la plus grande part du marché. De plus, tous les fournisseurs sont engagés dans une course à la création, à la mise sur le marché et à la livraison de produits rapidement afin de rester en phase avec un marché en constante évolution.

En outre (et comme dans l'industrie automobile), les vendeurs sont soumis à des pressions pour réaliser des bénéfices. Pour ce faire, il faut faire des concessions. Dans le cas de SolarWinds, la recherche de profits l'a amené à faire des compromis sur la sécurité. Nous ne pouvons tout simplement pas permettre que cela se reproduise.

Les praticiens de la sécurité s'appuient sur d'autres solutions pour "surveiller" d'autres produits, mais malheureusement, cela pose aussi des problèmes. Dans le cas de SolarWinds, sa solution de détection des points finaux a toujours signalé le logiciel SolarWinds comme étant un logiciel malveillant, à tel point que SolarWinds a recommandé de désactiver les capacités de surveillance de son logiciel dans un article de la base de connaissances.

Alors, que faire ?

Avant la publication du décret, Jonathan Reiber d'AttackIQ et moi-même avons publié un blog dans Lawfare qui décrivait ce que nous espérions voir dans le décret de M. Biden. Un point que nous n'avons pas exploré est la chaîne d'approvisionnement. J'aimerais examiner quelques réflexions à ce sujet :

  1. Tout outil de surveillance des points finaux doit disposer d'un programme robuste pour surveiller les tiers, sans toutefois créer de faux positifs. Ce sera coûteux pour les fournisseurs de systèmes d'extrémité, mais les avantages pourraient être énormes ! Malheureusement, le coût de ces programmes, associé à la sensibilité des clients aux prix, rendra cet objectif difficile à atteindre.
  2. Le décret reconnaît que le développement de logiciels manque de transparence, mais la question est de savoir comment lever le voile pour s'assurer que la chaîne d'approvisionnement d'un fournisseur n'a pas été compromise. Pour cela, je vous recommande de ne pas réinventer la roue, mais plutôt de vous tourner vers l'un de nos pairs internationaux : la France.
  3. Le gouvernement français a créé une agence, l' ANNSI, qui identifie les infrastructures critiques (et pas seulement les infrastructures gouvernementales), définit des normes de protection de ces infrastructures et contrôle les fournisseurs de logiciels qui protègent ces infrastructures.
  5. L'avantage de cette approche est que les éditeurs de logiciels ne considèrent pas l'autorité de régulation comme un concurrent et que l'ANNSI ne "vole" pas de logiciels. En revanche, elle veille à la sécurité des infrastructures françaises en contrôlant les fournisseurs.
  7. Une dernière remarque sur l'ANNSI. Comme indiqué plus haut, l'ANNSI n'applique pas ses principes uniquement aux infrastructures gouvernementales, mais également aux infrastructures "critiques". Chez Illumio, nous avons constaté l'implication de cette agence dans les secteurs pharmaceutique, manufacturier, bancaire et d'autres infrastructures jugées "critiques" pour le peuple français.
  9. Elle aurait également été utile lors de l'attaque du ransomware Colonial Pipeline (qui est évidemment aussi une infrastructure critique).

À bien des égards, le capitalisme et notre farouche indépendance américaine peuvent ne pas rendre possibles les deux éléments ci-dessus. De nombreux Américains n'apprécieraient pas que le gouvernement leur dicte comment gérer leur entreprise. Alors, que pouvons-nous faire d'autre ?

La réponse est simple et de nombreuses organisations du secteur privé le font déjà : Zéro confiance.

L'adoption d'un cadre de confiance zéro garantit qu'en cas d'attaque de la chaîne d'approvisionnement, l'événement est compartimenté.

Le décret de l'administration Biden s'est rallié à cette thèse. La section 4(i) stipule que les infrastructures critiques doivent avoir le moins de privilèges possible et une segmentation du réseau - en d'autres termes, elles doivent appliquer les principes de la confiance zéro.

L'application d'un cadre de confiance zéro ne dispense pas de la nécessité d'auditer la chaîne d'approvisionnement d'une organisation. Mais même si la chaîne d'approvisionnement a fait l'objet d'un audit complet pour détecter les attaques connues, Zero Trust protège contre les attaques inconnues de la chaîne d'approvisionnement.

En vérifiant comment un fournisseur introduit des logiciels tiers pour s'assurer qu'ils ne sont pas signalés à tort comme des logiciels malveillants, en examinant les pratiques de codage des logiciels et en utilisant des mots de passe complexes, les entreprises peuvent contribuer à la protection de la chaîne d'approvisionnement. Cela dit, les mauvais acteurs d'aujourd'hui (soutenus par des États-nations ou par le crime organisé) trouveront un moyen. La question est de savoir comment limiter le rayon de l'explosion lorsqu'elle se produit.

La réponse est l'application de la confiance zéro - et le décret de la semaine dernière montre que le gouvernement est sur la bonne voie !

Vous souhaitez répondre plus rapidement aux exigences du décret de la Maison Blanche ? Découvrez comment ici ou rejoignez-nous pour un atelier où vous apprendrez à concevoir une architecture Zero Trust pour votre agence fédérale.

Sujets connexes

Attaque de la chaîne d'approvisionnement

Articles connexes

Pouvez-vous mesurer l'efficacité de la microsegmentation ?
Segmentation sans confiance

Pouvez-vous mesurer l'efficacité de la microsegmentation ?

Illumio et Bishop Fox ont réalisé et documenté un plan directeur inédit dans l'industrie sur la façon de mesurer l'efficacité de la micro-segmentation.

Read more
RSAC 2024 : 3 conversations que vous avez peut-être manquées
Segmentation sans confiance

RSAC 2024 : 3 conversations que vous avez peut-être manquées

Récapitulez les trois sujets les plus fréquemment abordés au RSAC cette année.

Read more
Principales actualités de février 2025 en matière de cybersécurité
Segmentation sans confiance

Principales actualités de février 2025 en matière de cybersécurité

Découvrez pourquoi les gangs de ransomware continuent de prospérer malgré les mesures répressives, comment les directeurs techniques assument des rôles plus importants en matière de sécurité et comment Illumio et ses partenaires renforcent les défenses Zero Trust pour stopper les ransomwares dans leur élan.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more