« Les éditeurs de logiciels sont les cibles privilégiées des attaques par rebond visant les clients finaux. Face au phénomène croissant des attaques par rebond, il n’est plus suffisant pour les entreprises de ne protéger que leurs propres systèmes d’information. C’est tout l’écosystème qui doit s’armer. » Une mise en contexte efficace pour présenter la matinée organisée par TECH IN France autour des nouvelles exigences des clients finaux vis-à-vis des éditeurs de logiciels. Matthieu Bonenfant, Directeur Marketing de Stormshield, s’y est prêté au jeu des questions-réponses lors d’une table ronde consacrée à la prévention des attaques par rebond.
L’apport des solutions de sécurité tierces dans la sécurisation des solutions métier
Vincent Riou, animateur : Les solutions de Stormshield sont placées au plus près des actifs sensibles de vos clients. Vous êtes donc particulièrement concerné par la prévention des attaques par rebond. Comment voyez-vous l’apport des solutions de sécurité tierces dans la sécurisation des solutions métier (services Cloud en SaaS, objets connectés) ?
En ce qui concerne Stormshield, les actifs sensibles des entreprises que nous protégeons sont les données, les terminaux et les réseaux, et ce contre différents types d’attaques et de menaces, dont les attaques par rebond effectivement.
Les solutions logicielles peuvent être de sérieux chevaux de Troie pour introduire des menaces dans un système d’information cible. C’est d’ailleurs une mise à jour d’un logiciel de comptabilité ukrainien qui aurait amené la primo-infection du ransomware NotPetya.
Les solutions de sécurité tierces doivent permettre de créer une surcouche de sécurité, qui – la majeure partie du temps – pourra rester maîtrisée par l’entreprise cliente. Cette surcouche permet de protéger contre une faiblesse, une vulnérabilité de l’éditeur d’une solution, même si celui-ci a pris en compte la dimension sécurité dans ses développements. Je me permets de dire cela en toute humilité car, nous même, en tant qu’éditeur de solutions de cybersécurité, sommes concernés par ce principe, notamment l’approche de double-barrière technologique (deux technologies différentes pour protéger les actifs sensibles ; si une technologie présente une faiblesse, cette dernière pourra être couverte par la seconde technologie). Aucun système n’est infaillible, il est donc nécessaire d’avoir une approche multi-couches.
Pour les éditeurs qui sont moins matures en matière de sécurité, cette surcouche devient absolument capitale puisqu’elle est parfois le seul rempart face aux attaques par rebond.
Pour vous donner un exemple que l’on connait bien, nous avons une solution de protection de données, basée sur du chiffrement, qui permet aux clients utilisant une application collaborative ou un service de partage de document en ligne, de conserver la maîtrise de la confidentialité des données qui sont stockées ou partagées, en toute indépendance par rapport à la plateforme, sans stocker aucune information d’accès en ligne. En cas de compromission de l’application ou de la plateforme, les données restent illisibles.
Avec l’essor des API et des AppStores, il est de plus en plus aisé pour un éditeur de s’interfacer avec des solutions de sécurité tierce qui apporteront des compléments de sécurité soit sous forme de microservices, soit sous forme d’applications. Toujours sur le même exemple, nous avons un composant qui permet à une application de soumettre un fichier pour le chiffrer avant de le stocker via une API.
Vers des partenariats entre éditeurs de solutions métier et éditeurs de cybersécurité
V.R. : Il est parfois compliqué pour des éditeurs de solutions métier d’intégrer la sécurité en amont lors du développement de leurs produits et services. Ne pensez-vous pas que la solution vienne de partenariats forts entre éditeurs de solutions métier et éditeurs de cybersécurité ?
Lorsqu’on ne vient pas du métier de la cybersécurité, élever seul son niveau de maturité sur le sujet peut être long et très coûteux. Passer par des partenariats entre éditeurs de solutions et éditeurs de cybersécurité peut être un vecteur d’accélération et de prise en compte des dimensions cybersécurité. Pour vous donner un exemple similaire, Stormshield s’est lancé dans la protection des infrastructures industrielles il y a 5 ans sous une impulsion donnée par l’ANSSI. À l’époque, nous n’avions aucune connaissance de ce qu’était un protocole industriel, de la façon dont nous pourrions l’analyser, quelles étaient les contraintes de ces environnements. Cela touchait à un autre métier que le nôtre. Pour développer cette protection industrielle, nous avons mis en place un partenariat avec un grand industriel qui avait cette compétence qui nous manquait. Et nous avons développé un produit et des fonctionnalités dédiées avec l’aide de ce partenaire. En échange, nous lui avons permis d’élever son niveau de maturité concernant la cybersécurité. Ces derniers ont maintenant des équipes capables d’installer de la cybersécurité en environnement industriel et ils sont très bons pour cela. On a tous à y gagner à travailler main dans la main, comme un véritable écosystème en partageant nos connaissances pour apporter plus de valeurs à nos clients.
Les bonnes pratiques pour minimiser le risque de vulnérabilités
V.R. : En tant qu’éditeur de solutions vous-même, quelles bonnes pratiques avez-vous mis en œuvre pour minimiser le risque de vulnérabilités dans vos produits ?
Nous avons mis en place un certain nombre de mesures et pouvons bien entendu toujours faire mieux. Les points suivants ne sont que quelques pistes.
Le premier sujet parait évident, mais est une bonne première étape : avant de chercher à minimiser les vulnérabilités, il faut s’assurer que si on en a – et on en aura forcément –, on pourra les corriger et amener les correctifs jusqu’aux clients. Pour cela, il faut développer des capacités de gestion des vulnérabilités depuis la phase de veille jusqu’à la mise à jour des produits en passant par la notification des utilisateurs. Il est particulièrement important de sécuriser le canal de mise à jour car le menace peut l’utiliser pour injecter du code malveillant dans un produit, ce qui est d’ailleurs arrivé à l’éditeur Asus en début d’année.
En tant qu’éditeurs de produits logiciels, beaucoup d’entre nous sont pris par des contraintes de Time-to-Market, de rationalisation des coûts, de couverture fonctionnelle, face à des concurrents qui vont toujours plus vite. C’est parfois difficile d’accepter de changer sa roadmap pour intégrer la correction d’une vulnérabilité, on a souvent tendance à vouloir privilégier l’innovation ou la satisfaction des demandes clients. En terme de gouvernance, il est donc nécessaire d’avoir un contre-pouvoir dans l’organisation, ayant autorité sur la gestion des problématiques de sécurité des produits et pouvant décider de mettre la réalisation d’un correctif en priorité sur tout autre développement. Chez Stormshield, nous avons ainsi nommé un Product Security Officer qui porte cette responsabilité.
Et pour aller plus loin, plusieurs initiatives ont été déployées au niveau de la phase de développement, notamment la définition d’un guide de développement sécurisé, des règles de durcissement spécifiques pour les postes des développeurs, l’utilisation d’outils d’analyse de code ou d’injection d’attaques, des scans de vulnérabilité sur nos services Cloud…
Enfin, la confiance que nos clients portent à nos produits étant un vrai différenciateur pour nous, nous faisons qualifier tous nos produits par l’ANSSI. Comme nous passons une qualification Standard, nous passons un audit de code source de certaines fonctions et un audit de notre environnement de développement.
Mais cette liste n’est pas exhaustive et il y a encore beaucoup de choses que nous pourrions faire, ou que nous sommes en train d’étudier, comme la mise en place d’un programme de Bug Bounty sur nos produits. À suivre !