D’après une étude commandée en avril 2024 par le Canadien Blackberry, les organisations publiques et privées restent mal préparées aux attaques sur leur supply chain logicielle.
Fin 2020, l’affaire Solarwinds a traumatisé plus d’une entreprise. Des pirates attaquent alors en effet des mises à jour de la plate-forme de surveillance informatique et réseau Orion de l’éditeur, infiltrant ainsi par ricochet le SI de quelque 18 000 organisations clientes. Parmi elles, rien moins que les ministères américains de la Défense, du Trésor, de l’Énergie, de la Sécurité intérieure et du Commerce, ou encore Microsoft. Le monde économique découvre alors l’ampleur du risque lié à la vulnérabilité des supply chains logicielles.
En 2022, puis de nouveau en 2024, Blackberry, spécialisé dans la sécurité de l’IoT, a cherché à évaluer auprès d’un millier de décisionnaires IT dans le monde l’impact financier et celui lié à la réputation de ces attaques, via une étude intitulée « software supply chains: a major challenge for cybersecurity ». Comme le précise le Canadien, l’affaire Solarwind a d’abord abouti au renforcement des régulations dans le monde entier sur le sujet (security legislation amendment act 2022 aux États-Unis, NIS 2 ou Dora dans l’UE, etc.) Mais qu’en est-il de la prise de conscience des organisations publiques et privées et des dispositifs mis en oeuvre pour prévenir ces attaques ? Car, selon Blackberry, trois quarts des supply chains logicielles ont été attaquées au cours des 12 derniers mois.
Une prise de conscience très relative
Premier constat, cette prise de conscience reste toute relative. 80 % des répondants ont bien été informés de l’existence d’une vulnérabilité ou d’une attaque au sein de leur supply chain logicielle dans les 12 mois précédant l’enquête. Ce qui se serait traduit par des perturbations importantes de leurs opérations, la perte de données ou une dégradation de la réputation. Qui plus est, les trois quarts des attaques dont les organisations concernées ont été victimes provenaient d’éditeurs vulnérables, qu’elles n’avaient pas identifiés ou ne surveillaient tout simplement pas. Pourtant, seules 51% des organisations concernées se sont remises des perturbations engendrées en moins d’une semaine, contre 53% en 2022. Et pour près de 40% des répondants, il aura fallu un long mois pour se remettre de l’attaque.
Le risque inhérent à la supply chain logicielle est reconnu. Près de deux tiers des répondants à l’enquête considèrent les pertes financières comme le danger le plus important, 59% les pertes de données et 58% les atteintes à la réputation, avant même l’impact opérationnel (55 %). Malgré ces constats, plus des deux tiers des organisations font confiance à leurs fournisseurs pour identifier et prévenir les vulnérabilités, et presque autant donnent à leur supply chain logicielle un blanc-seing en matière de conformité à la réglementation.
Les inventaires cyber de la supply chain
En matière d’action concrète, deux répondants sur cinq affirment tout de même contrôler régulièrement leurs partenaires pour réaliser un inventaire cyber de leur supply chain logicielle. Et autant font un état des lieux chaque trimestre, au travers d’un software bill of material (SBOM) par exemple. Parmi les freins les plus cités à la réalisation de tels inventaires, on trouve le manque de compréhension technique, de visibilité et d’outils efficaces.
Enfin, paradoxalement, près de 4 organisations sur 5 ne préviennent pas leurs clients en cas de faille sur leur supply chain logicielle, majoritairement par peur de l’impact en termes de réputation. Même si la communication de crise engage depuis longtemps à la transparence, pour éviter ce type de situation.