ICTjournal 05/2021

32 cybersécurité open

32 cybersécurité open source Les bibliothèques de code open source sont un risque Les bibliothèques de code open source ne sont bien souvent jamais mises à jour par les développeurs. En cause: un manque de ressources et d’informations. Voire une négligence au niveau des processus de sélection de ces bibliothèques tierces. Yannick Chavanne Source: Veracode, 2021 Une fois intégrées, plus de trois-quart des bibliothèques open source ne sont jamais mises à jour. La sécurité des outils et logiciels open source est au cœur des préoccupations en matière de cyberattaque. D’autant plus à l’ère du développement cloud et de l’interdépendance de codes conçus avec de multiples briques provenant des innombrables bibliothèques de langage de programmation et autres frameworks open source. On le sait, ces composants cachent fréquemment des vulnérabilités, entre bouts de code devenus obsolètes et – encore plus inquiétant – correctifs non appliqués. Ces failles sont également ciblées dans le cadre d’attaques à la supplychain logicielle, en particulier les systèmes d’exploitation open source. En dépit des dangers connus de l’intégration de bibliothèques tierces, la plupart des développeurs font preuve de négligences en la matière, selon une étude publiée par l’éditeur Veracode, spécialisé dans les tests de sécurité logicielle pour les approches DevOps. Une fois intégrées, plus de trois quarts de ces bibliothèques open source ne sont jamais mises à jour. Et quand elles le sont, c’est souvent après un trop long délai: pour la moitié d’entre elles, la mise à jour sera réalisée après plus de 21 mois, et pour un quart, seulement après quatre ans. PRIORITÉS LORS DU CHOIX DES BIBLIOTHÈQUES TIERCES Toujours Fréquemment Rarement ou jamais (en %) Support Activité du projet Sécurité Octroi de licences Fonctionnalités 40.9 40.9 18.2 41.1 41.5 17.4 52.5 30.7 16.4 62.5 23.2 14.3 67.1 25.7 7.2 Pas de procédure clairement établie et sécurité non prioritaire Il apparaît que les négligences surviennent déjà en amont de l’intégration. Car une fois sur deux, les développeurs ne suivent pas de procédure clairement établie de sélection des bibliothèques tierces. Et quand ils le font, les questions de sécurité ne sont pas systématiquement prises en compte. Les fonctionnalités et les spécificités d’octroi des licences sont des critères de sélection davantage considérés que l’aspect cyber-sécuritaire. L’enquête de Veracode montre pourtant que prendre systématiquement en compte la sécurité dans le choix d’une bibliothèque tierce permet de diminuer la présence de failles dans les codes intégrés par les développeurs. Réaction en cas de vulnérabilités avérées Bien que la nette majorité des bibliothèques open source ne soient que trop rarement mises à jour, les développeurs se montrent toutefois moins négligents dans le cas de vulnérabilités identifiées. En effet, la moitié des bibliothèques sont corrigées dans les trois mois suivant le scan du code ayant révélé une faille. Dans près de 20% des cas, le correctif est appliqué dans l’heure. Freins à l’application de mises à jour Pour quelles raisons les développeurs ne mettent pas à jour les bibliothèques tierces ou tardent à le faire? L’étude de Veracode indique que la majorité des équipes concernées manquent rarement (voire jamais) de compétences pour appliquer des correctifs. Les freins sont plutôt un manque de ressources et d’informations disponibles pour corriger les failles. Souci supplémentaire: les développeurs craignent souvent que l’application d’un correctif provoque le dysfonctionnement des applications concernées. Une crainte exagérée, car «même lorsqu’une mise à jour d’une bibliothèque open source entraîne des mises à jour supplémentaires, près des deux tiers d’entre elles ne constituent qu’un changement de version mineur et il est peu probable qu’elles brisent la fonctionnalité des applications les plus complexes», soulignent les auteurs de l’étude. 05 / 2021 www.ictjournal.ch © netzmedien ag

Publireportage Une nouvelle approche de la sécurité à l‘abri des ransomwares Les raisons qui expliquent pourquoi la protection des données via les snapshots, les sauvegardes cryptées et la récupération rapide passe aujourd’hui au premier plan. Les cybermenaces ne cessent d’évoluer. Actuellement, ce sont les ransomwares qui causent le plus de tracas aux entreprises. Les cas spectaculaires comme celui, récent, de l‘opérateur d‘infrastructures américain Colonial Pipeline se multiplient dans le monde entier – et la Suisse n‘est pas épargnée. Le 8 juillet, un grand portail suisse de comparaison en ligne a signalé qu‘une partie de ses systèmes informatiques avait été bloquée et avait dû être arrêtée en raison d‘une attaque par ransomware. Même si toutes les données n‘ont pas été cryptées, le service a tout de même été indisponible pendant plus de 24 heures – une méga-catastrophe pour un business en ligne. Les cyber-extorqueurs ont exigé une rançon de 400’000 dollars pour décrypter les données. La société a d‘abord annoncé qu‘elle ne céderait pas à la demande, avant de payer finalement une partie du montant pour accéder à un domaine des données qu’il aurait été très long de restaurer. Mais plus généralement, quelles sont les chances pour une entreprise de récupérer ses données en cas d‘attaque par ransomware et de pouvoir redémarrer son activité commerciale qui a été bloquée? La relocalisation des postes de travail en raison de la pandémie a grandement renforcé la tendance au télétravail et au travail mobile. L‘environnement de l‘entreprise, qui était autrefois clairement défini par le périmètre du réseau, est devenu encore plus difficile à protéger. Les cyberattaquants ont rapidement profité de cette nouvelle situation et la sécurité s‘est détériorée en conséquence. La stratégie cyber des entreprises ne peut plus se limiter à repousser les intrus. Des pirates avertis parviennent encore et encore à se baona / iStock.com frayer une voie d’accès, que ce soit par des tactiques d‘ingénierie sociale ou des attaques automatisées. La prévention reste bien sûr essentielle, mais la stratégie de sécurité doit également envisager le cas d‘une attaque réussie. Si des données ont été cryptées ou détruites, une récupération rapide et fiable s’avère essentielle. La restauration à partir de sauvegardes traditionnelles s‘avère toutefois trop lente et elle est sujette à des erreurs. Sans compter la tendance inquiétante qu’on les attaquants de crypter ou de supprimer spécifiquement les sauvegardes. L’activité de l’entreprise se retrouve ainsi paralysée, ou alors la victime de accepte de payer une rançon, alimentant ainsi le modèle économique criminel. Immunité contre les ransomwares grâce aux snapshots et à la récupération rapide Les auteurs de rançongiciels sont de plus en plus audacieux, mais avec des solutions de sauvegarde modernes, les entreprises peuvent déjouer leurs attaques. C‘est là qu‘interviennent les snapshots avancés immuables, qui offrent davantage de résilience et protègent contre les suppressions accidentelles ou malveillantes. Les snapshots ont le même objectif que les sauvegardes, mais leur but consiste à minimiser les pertes de données et les temps de récupération. Les snapshots renferment en effet les métadonnées essentielles pour une récupération rapide. Les solutions de sauvegarde modernes offrent des snapshots automatisés efficaces en termes de stockage, qui peuvent être transférés d‘un environnement on premise vers un système secondaire ou vers le cloud. Ainsi ar exemple, avec la plateforme de stockage rapide et unifié en mode fichier et objet (UFFO) Flash­ Blade de Pure Storage, des snapèshots SafeMode automatisés en lecture seule empêchent la suppression ou la modification des sauvegardes stockées. Ces sauvegardes immuables sont conservées pendant un laps de temps déterminé par l‘organisation. La suppression n‘est possible ni en accédant à la plateforme de stockage ni via le logiciel de sauvegarde. Pour modifier la configuration du snapshot, il faut un administrateur autorisé et annoncé qui s’est en plus authentifié auprès du support technique de Pure Storage. De sorte que même si le compte de l‘administrateur venait à être compromis, les attaquants ne pourraient pas davantage accéder aux snapshots. C’est grâce à tout cela qu’il est possible de restaurer de manière fiable les données concernées à partir de la sauvegarde. Autre aspect crucial, la rapidité de la restauration. En tant que solution de sauvegarde, FlashBlade traite déjà des volumes de données allant jusqu‘à 270 téraoctets par heure. Il est ainsi possible de restaurer rapidement des quantités de données très importantes afin de reprendre les opérations commerciales dans les plus brefs délais. Une cybersécurité adéquate doit être à la hauteur de la situation sécuritaire du moment. Si aujourd’hui les sauvegardes sont compromises, elles doivent également être protégées. Si, en cas d’urgence, une récupération s’avère nécessaire, il faut qu’elle soit fiable et rapide. C’est ainsi et seulement ainsi que les entreprises sont armées pour garder une longueur d‘avance sur les attaquants malgré la menace des ransomwares. A PROPOS DE PURE STORAGE Pure Storage aide ses clients à réaliser le plein potentiel de leurs données tout en réduisant les coûts et la complexité. C’est ce que confirme Gartner, qui positionne Pure Storage comme leader parmi tous les «Leaders» de son Magic Quadrant 2020 pour les baies de stockage primaire. Avec des produits de pointe tels que sa solution de Stockageas-a-Service et sa plateforme Kubernetes Portworx pour les services de données, l’entreprise californienne continue d’être pionnière.