Sécurisation de la chaîne d'approvisionnement en logiciels pour la loi sur la cyber-résilience

21 avril 2025
| Pas de commentaires
Sécurisation de la chaîne d'approvisionnement en logiciels dans le cadre de la loi sur la cyber-résilience
Exposition

Partager le post

Ces dernières années, les responsables de la sécurité informatique et leurs équipes ont dû de plus en plus faire face aux cyber-risques associés aux chaînes d’approvisionnement en logiciels de leurs fournisseurs et partenaires.

Les cybercriminels font de plus en plus des vulnérabilités des pipelines de développement, des composants open source et des intégrations tierces une partie intégrante de leurs vecteurs d’attaque. Selon une enquête Bitkom de l'année dernière, en 2024, 13 % des décideurs informatiques interrogés avaient connaissance d'au moins un des fournisseurs de la chaîne d'approvisionnement de leur entreprise qui avait été victime d'un incident de cybersécurité au moins une fois au cours des 12 derniers mois. 13 % supplémentaires le soupçonnaient et 21 % ne pouvaient pas l’exclure.

Exposition

Loi sur la cyber-résilience et chaînes d'approvisionnement en logiciels

Afin de faire face au risque croissant lié à la chaîne d’approvisionnement en logiciels, de nombreuses initiatives législatives ont été lancées et adoptées en Europe ces dernières années. Souvenez-vous simplement de NIS2 et DORA. Tout récemment, le 11 décembre, une autre loi a été ajoutée : la Loi sur la résilience cybernétique (CRA). Elle s’applique à tous les logiciels, micrologiciels et appareils connectés destinés à être vendus ou utilisés dans l’UE. Elle oblige les fabricants à garantir la sécurité nécessaire de leurs produits matériels et logiciels – et à le faire de manière transparente. Cela devrait permettre aux acheteurs de prendre des décisions d’achat plus éclairées et d’intégrer davantage la question de la sécurité dans leurs réflexions.

Les fournisseurs doivent se conformer aux premières exigences du CRA à compter du 11 septembre 2026 et à la majorité à compter du 11 décembre 2027. En ce qui concerne la sécurité de la chaîne d'approvisionnement, le CRA définit des exigences concernant l'évaluation et la gestion des risques, les mesures de sécurité pendant le développement des produits, la sécurité des paramètres par défaut des produits, la nomenclature des logiciels (SBOM) et l'évaluation de la conformité.

Exposition

Sécuriser la chaîne d'approvisionnement en logiciels dès le début

Étant donné qu’il faudra naturellement un certain temps pour adapter les processus internes aux nouvelles exigences de conformité et pour mettre en place les structures de reporting appropriées, il est conseillé aux décideurs informatiques et aux équipes de sécurité de commencer le plus tôt possible, idéalement dès maintenant. Ils devraient se concentrer sur trois points en particulier : sécuriser l’ensemble de la chaîne d’outils DevOps, garantir l’authenticité des logiciels et établir des mesures pour accroître la transparence.

  • Sécurité tout au long du cycle de développement intégrer – La chaîne d’outils DevOps doit être équipée de mécanismes de protection cryptographique robustes.
  • Sgarantir l'authenticité du logiciel – Tous les composants logiciels doivent être authentifiés et vérifiés tout au long du cycle de développement. Les identités des développeurs, des applications et des composants d’infrastructure doivent être vérifiables.
  • Améliorer la transparence et la traçabilité – Pour obtenir une vision complète et une vue d’ensemble de la provenance des logiciels, il faut accéder à des métadonnées telles que la nomenclature des logiciels (SBOM).

Tout cela peut être mis en œuvre de la manière la plus efficace et efficiente possible avec une solution de signature de code moderne. Cela est dû au fait qu’ils peuvent être facilement intégrés aux outils CI/CD, sans compliquer ni même interrompre les flux de travail informatiques et les processus de construction. Le code peut ainsi être surveillé efficacement tout au long de son cycle de développement et protégé contre les modifications non autorisées et les logiciels malveillants, en temps réel. De plus, l’application des politiques de sécurité peut être largement automatisée, ce qui soulage vos propres équipes de sécurité d’une grande partie du travail. Dotée d'un tel outil, chaque entreprise devrait être en mesure de surveiller et de gérer les risques de ses propres chaînes d'approvisionnement en logiciels d'ici la date limite du CRA du 11 décembre 2027. (Jiannis Papadakis, directeur de l'ingénierie des solutions chez Keyfactor).

Plus sur Keyfactor.com

 

À propos des facteurs clés

Keyfactor apporte la confiance numérique au monde hyperconnecté avec une sécurité basée sur l'identité pour les humains et les machines. En simplifiant la PKI, en automatisant la gestion du cycle de vie des certificats et en sécurisant chaque appareil, charge de travail et objet, Keyfactor aide les organisations à créer et à maintenir rapidement une confiance numérique évolutive. Dans un monde de confiance zéro, chaque machine a besoin d'une identité et chaque identité doit être gérée

Articles liés au sujet

L'assurance cybernétique est l'exception

Si des données importantes disparaissent soudainement après une attaque de logiciel malveillant, quelqu'un d'autre prend possession de votre identité sur Internet ➡ En savoir plus

PME : les ransomwares restent l'attaquant numéro 1

Le nouveau rapport MDR évalue les incidents de réponse aux incidents dans les PME - entreprises de taille moyenne en 2024 et montre que les attaques avec ransomware ➡ En savoir plus

Un logiciel ASUS défectueux permet l'installation de logiciels malveillants 

Le logiciel ASUS DriverHub préinstallé présente une vulnérabilité critique qui permet l'exécution de code à distance de logiciels malveillants. En raison de tests incorrects de ➡ En savoir plus

Les DSI modernes ont des tâches diverses

Le rôle des DSI modernes a considérablement changé : par le passé, les DSI étaient principalement responsables de la maintenance des opérations informatiques des entreprises. ➡ En savoir plus

Plus de 130.000 2024 violations de données en Europe en XNUMX

Dans les 15 pays européens, plus de 2024 violations de la protection des données ont été recensées chaque jour en 365, selon les résultats d'une analyse récente. En Allemagne ➡ En savoir plus

Attaques DDoS : le moyen le plus important de la cyberguerre

Au cours du second semestre 2024, il y a eu au moins 8.911.312 XNUMX XNUMX attaques DDoS dans le monde, selon les résultats d'un récent rapport DDoS Threat Intelligence. ➡ En savoir plus

Cybercriminalité : la clandestinité russophone en tête

Un nouveau rapport de recherche fournit un aperçu complet du cyberespace underground russophone. Cet écosystème a eu un impact significatif sur la cybercriminalité mondiale ces dernières années. ➡ En savoir plus

Loi sur la cyber-résilience : les entreprises doivent agir maintenant

La loi sur la cyber-résilience (CRA) avance à grands pas. Pour les fabricants, cela signifie que les appareils présentant des vulnérabilités de sécurité exploitables ne seront bientôt plus disponibles. ➡ En savoir plus

 

Stories
, , , ,