La sécurité de la chaîne d’approvisionnement ne s’arrête pas à la livraison des produits et s’étend sur toute la durée de vie des appareils utilisés dans l’entreprise et même au-delà, lorsqu’ils sont réaffectés d’un propriétaire à l’autre.
Benjamin Duchet, Chief Technologist de HP France, indique à nos lecteurs les précautions à prendre en compte.
L’l’infrastructure informatique mondiale est aujourd’hui fortement interconnectée, interdépendante et doit pouvoir résister à toutes sortes de menaces. L’un des risques de cybersécurité les plus sous-estimés, et pourtant parmi les plus dangereux, est la menace ciblant les chaines d’approvisionnement des imprimantes et ordinateurs, fixes ou portables. En effet, la sécurité de la chaîne d’approvisionnement ne s’arrête pas à la livraison des produits et s’étend sur toute la durée de vie des appareils utilisés dans l’entreprise et même au-delà, lorsqu’ils sont réaffectés d’un propriétaire à l’autre.
1 entreprise sur 4 en France est touchée par des cyberattaques sur ses chaînes d’approvisionnement en matériel informatique
Les attaques ciblant les chaînes d’approvisionnement en matériel IT peuvent être de diverses natures : de l’introduction de logiciels malveillants à la modification des composants de l’appareil dans l’usine de fabrication ou pendant le transport. Ces attaques compromettent l’intégrité du matériel et des logiciels. Pour prévenir ces risques, il s’agit de s’assurer que les composants du matériel et les firmwares n’ont en aucun cas été modifiés tout au long du cycle de vie.
L’impact des attaques sur l’intégrité des appareils et des firmwares
Les conséquences de telles attaques peuvent être graves : si un pirate compromet un appareil au niveau du firmware ou du matériel, il bénéficiera d’une parfaite visibilité et pourra contrôler entièrement cette machine. Les attaques visant les couches basses de l’ordinateur sont mises au point par des acteurs qualifiés et disposant de ressources suffisantes, comme les États-nations. Elles leur permettent de s’installer furtivement sous le système d’exploitation (OS) et de compromettre entièrement l’appareil. Ce type d’attaques est particulièrement difficile à détecter et à contrer avec les outils de sécurité actuels, qui ne se concentrent pas sur les couches basses.
Compte tenu de la nature furtive et de la complexité de ces menaces, les exemples ne sont pas aussi fréquents que les attaques avec des logiciels malveillants ciblant le système d’exploitation. Néanmoins, en 2018 par exemple un module UEFI malveillant appelé LoJax avait ciblé les systèmes de ses victimes. Sans protection suffisante, la plupart des appareils n’avaient pas pu résister à l’attaque, qui avait été capable de survivre à la réinstallation du système d’exploitation et au remplacement du disque dur. Plus récemment, le bootkit BlackLotus UEFI a été conçu pour contourner les mécanismes de sécurité du démarrage et donner aux attaquants un contrôle total sur le processus de démarrage du système d’exploitation. D’autres logiciels malveillants UEFI, tels que CosmicStrand, peuvent aujourd’hui se lancer avant le démarrage du système d’exploitation et des défenses de sécurité, un moyen redoutable pour les pirates de prendre le contrôle de l’ordinateur infecté.
D’un point de vue réglementaire, les lignes bougent rapidement : l’UE introduit de nouvelles exigences en matière de cybersécurité à chaque étape de la chaîne, en commençant par les logiciels et les services avec la directive Network and Information Systems (NIS2), et en s’étendant aux appareils eux-mêmes avec le Cyber Resilience Act pour garantir des appareils et des logiciels plus sûrs.
Et compte tenu de l’ampleur du défi, 83% des décideurs informatiques (étude HP) en France affirment que la sécurité de la chaîne d’approvisionnement des logiciels et de leurs appareils va devenir une de leurs priorités[i]. Selon les résultats d’une étude menée par HP Wolf Security, les entreprises s’inquiètent de ne pas avoir assez de visibilité et d’être mal équipées pour se protéger contre ces menaces qui pèsent sur la chaîne d’approvisionnement des appareils. En France, près de la moitié (47 %) des décideurs informatiques n’ont pas la possibilité de vérifier si le matériel et les firmwares des PC fixes, ordinateurs portables ou imprimantes ont été altérés en usine ou lors du transport. Par conséquent, ils sont 78 % à déclarer avoir besoin d’un moyen de vérifier l’intégrité du matériel pour réduire le risque d’altération des appareils. Pour garantir la sécurité des appareils, il est nécessaire pour les entreprises de choisir des fournisseurs de technologies et des prestataires dont les processus de conception et de fabrication sont sécurisés. Il s’agit également de sélectionner des technologies de pointe permettant de vérifier, de gérer et de contrôler l’intégrité des appareils tout au long de leur cycle de vie.
Penser la sécurité dès la conception du matériel
En tenant compte de ces risques, les entreprises peuvent prendre quatre mesures clés pour assurer de manière proactive la sécurité de leur parc informatique :
- Gérer en toute sécurité la configuration des firmwares tout au long du cycle de vie des appareils, à l’aide de certificats numériques et de la cryptographie à clé publique, ce qui évite d’utiliser des méthodes moins sûres basées sur des mots de passe.
- Utiliser les services d’usine des fournisseurs pour activer les configurations de sécurité des matériels et des firmwares dès l’usine
- Vérifier l’intégrité du matériel et des firmware lors de la livraison de l’appareil.
- Contrôler en continue la conformité de la configuration des équipements et des firmwares du parc informatique – il s’agit d’un processus continu qui doit être mis en place aussi longtemps que les appareils sont utilisés par l’entreprise.
La sécurité des systèmes repose sur une solide sécurité de la chaîne d’approvisionnement, qui commence par l’assurance que les appareils, qu’il s’agisse de PC, d’imprimantes ou de toute forme d’appareils informatiques, sont fabriqués et livrés avec les composants prévus. C’est pourquoi il est nécessaire pour les entreprises de se concentrer sur la sécurisation des couches basses des équipements et firmwares, pour pouvoir gérer sereinement n’importe quel appareil de leur parc tout au long de sa durée de vie.
