L’état fragile de nos chaînes d’approvisionnement physiques a été présenté aux yeux du monde, une révélation qui a commencé avec l’épidémie de COVID-19, mais qui s’est poursuivie rapidement après d’autres événements révélateurs. La plupart des Américains s’en sont rendu compte lorsqu’ils sont allés dans l’allée du papier toilette pour constater qu’ils devraient faire preuve de créativité dans la salle de bain. La panique s’est ensuivie peu de temps après.
La réduction des coûts et l’efficacité pour les producteurs et les fabricants se traduisent par une baisse des coûts pour les consommateurs, raison pour laquelle bon nombre d’entre eux n’ont pas remis en question cette pratique.
Pendant des années, notre dépendance totale à un système de chaînes d’approvisionnement juste à temps, dans lequel les marchandises sont livrées juste avant qu’elles ne soient nécessaires, et les stocks excédentaires sont réduits au minimum pour réduire les coûts et augmenter l’efficacité, a fonctionné. Le processus de fabrication a été développé à l’origine par Toyota dans les années 1970 pour les aider à construire des voitures, mais le système fonctionnait si bien qu’il est maintenant utilisé dans les entreprises du monde entier de toutes tailles, quels que soient les produits qu’ils fabriquent. La réduction des coûts et l’efficacité pour les producteurs et les fabricants se traduisent par une baisse des coûts pour les consommateurs, raison pour laquelle bon nombre d’entre eux n’ont pas remis en question cette pratique.
Le défaut fatal de ce réseau mondial de dépendance, bien sûr, est que lorsque ces chaînes d’approvisionnement sont perturbées à un point tel qu’elles ne peuvent pas livrer des marchandises selon leur échéancier extrêmement important – par exemple, lors d’une catastrophe mondiale qui se produit une fois par siècle – ne pourront pas obtenir ce dont ils ont besoin quand ils en ont besoin. Si la vulnérabilité n’était pas assez apparente, le 23 mars, un porte-conteneurs de 400 mètres de long s’est coincé entre les deux rives adjacentes du canal de Suez, éclairant la question pour que tous puissent voir à mesure que les 12% du commerce mondial traversent. la minuscule voie navigable était maintenant interrompue brusquement. Le blocage du canal par le navire Evergreen aurait coûté quatre cent millions de dollars de l’heure, un montant qui ne manquera pas d’être ressenti par d’innombrables organisations, qui en répercuteront le coût sur les consommateurs. Malheureusement pour le juste à temps, l’impact n’était pas seulement monétaire, car la faille de son système commençait à devenir flagrante. Les consommateurs et les fabricants étaient devenus trop à l’aise avec leurs chaînes d’approvisionnement, ce qui les a conduit à devenir peu sûrs et coûteux lorsqu’ils sont ignorés.
Centre de données.
QUESTIONS DE SÉCURITÉ NATIONALE
Les effets de ces interruptions de la chaîne d’approvisionnement commencent à peser beaucoup sur plus que nos produits commerciaux; ils ont un impact sur la sécurité nationale des États-Unis. Prenons le cas des semi-conducteurs, que les États-Unis dépendent fortement de Taiwan pour la production. Les puces stratégiquement inestimables sont utilisées dans un large éventail de technologies, à la fois dans les produits de consommation et les systèmes d’armes militaires. L’approvisionnement taïwanais est utilisé pour satisfaire 90% des besoins en semi-conducteurs des entreprises technologiques américaines et est si important pour Washington qu’il cherche maintenant à construire des alliances stratégiques avec d’autres pays et à consacrer des milliards de dollars pour commencer à fabriquer chez lui. Imaginez, alors, si la Chine envahissait Taiwan et s’emparait des capacités de fabrication de puces existantes de l’île.
L’opacité de leur complexité donne aux bénéficiaires l’excuse d’être complètement ignorants de leur fonctionnement interne.
Les complications de ces chaînes d’approvisionnement physiques mondiales sont désormais évidentes, mais le problème ne s’arrête pas à l’industrie manufacturière. La chaîne logistique logicielle, que les consommateurs et les développeurs utilisent tous les jours sans trop y penser, est similaire aux chaînes logistiques traditionnelles. sauf qu’il ne traite pas de produits tactiles. Au lieu de cela, il se concentre sur la livraison du code et s’assure qu’il est correct et intégré correctement aux applications et aux systèmes. Il permet aux développeurs de produire des produits fantastiques et aux consommateurs de profiter d’une productivité sans faille. Ce nouveau type éthéré de chaîne d’approvisionnement a fait l’objet d’un examen minutieux ces derniers temps en raison de la récente cyberattaque menée par des acteurs russes.
L’attaque de la chaîne d’approvisionnement, qui a commencé au printemps dernier, bien qu’elle ait atterri sur le radar des gens au cours de l’hiver suivant, continue d’avoir des ramifications aujourd’hui alors que les entreprises et les gouvernements parcourent leurs réseaux à la recherche de traces d’intrusion. L’incident impliquait une mise à jour discrète du logiciel de surveillance de l’infrastructure fourni par SolarWinds, une entreprise de solutions de gestion informatique. À l’insu des propriétaires du logiciel, la mise à jour contenait des logiciels malveillants qui permettraient aux acteurs de la menace qui l’ont placé là de mener des activités d’espionnage et de vol de données dans les réseaux des entreprises privées et des organisations gouvernementales qui l’ont téléchargée.
L’attaque a été largement couverte par les médias et a incité l’administration Biden à imposer des sanctions de représailles à 30 individus russes et à six entreprises technologiques, ainsi qu’à l’expulsion de dix membres de la mission diplomatique russe. Il ne fait aucun doute que de nombreuses personnes l’ont vu aux actualités ou l’ont lu en ligne sans savoir qui est SolarWinds ou ce que fait le logiciel de surveillance d’infrastructure pour une organisation. Malgré une ignorance généralisée sur le sujet, le point de la question était clair. Un acteur étranger hostile avait piraté des logiciels utilisés par des milliers d’organisations privées et publiques et installé des logiciels malveillants qui compromettraient les réseaux et permettraient une exploitation future.
Le piratage de SolarWinds a eu suffisamment d’impact pour mériter d’être mentionné dans un récent rapport annuel d’évaluation des menaces du Bureau du directeur du renseignement national. Avant d’appeler explicitement l’attaque russe, il résume le problème en disant: «Au cours de la dernière décennie, des pirates informatiques parrainés par l’État ont compromis les chaînes d’approvisionnement de logiciels et de services informatiques, les aidant à mener des opérations – espionnage, sabotage et potentiellement prépositionnement pour la guerre.
Le problème qui vient avec ces chaînes d’approvisionnement est le résultat de la caractéristique qui les rend si réussies. L’opacité de leur complexité donne aux bénéficiaires l’excuse d’être complètement ignorants de leur fonctionnement interne. Il permet aux clients d’obtenir des marchandises rapidement et efficacement sans avoir besoin de susciter autant de curiosité sur la façon dont la chaîne d’événements s’est produite. Le choc des acheteurs face à des étagères vides illustre bien cet aveuglement.
Un aveuglement similaire se produit dans le monde des logiciels, car personne ne comprend vraiment tous les rouages internes d’un système. Les utilisateurs sont constamment sur des applications qui reposent sur des centaines de progiciels différents, ou dépendances, pour fonctionner correctement. Même les développeurs des applications auraient du mal à expliquer la complexité de toutes les dépendances sur lesquelles ils s’appuient. Ce manque de clarté apparemment innocent peut entraîner une situation catastrophique, comme le montre la violation de SolarWinds.
La menace imposée par de telles violations n’est pas tape-à-l’œil. L’acteur de la menace n’empoisonne pas l’approvisionnement en eau ou ne coupe pas le réseau électrique. C’est pourquoi il est impératif que les gens prennent conscience du vrai danger que représentent les campagnes secrètes de collecte de renseignements et d’espionnage menées par des acteurs étrangers. Les données et les informations sont essentielles pour mener des guerres froides et chaudes. Si la Russie, ou la Chine d’ailleurs, peut entrer dans les réseaux de nos agences gouvernementales ou de nos entreprises technologiques et recueillir des informations vitales sur la guerre ou une propriété intellectuelle précieuse, elles pourront accroître leur capacité à saper les États-Unis à l’avenir. La chaîne d’approvisionnement des logiciels est un moyen peu sûr que nos adversaires ont pu compromettre et, pour des raisons de sécurité nationale, il faut y remédier.
Circuit imprimé.
RENFORCER LA CONFIANCE DANS LE SYSTÈME
La solution appropriée à cette nouvelle menace – celle des chaînes d’approvisionnement précaires et fragiles – n’est pas une indépendance totale, mais la stratégie de dépendance aveugle vis-à-vis de tiers ne peut pas non plus échapper à un examen minutieux. Il serait impossible pour un pays moderne de compter sur sa propre économie pour produire tout ce dont il a besoin. De même, les infrastructures informatiques modernes ne peuvent pas être développées et maintenues par leur organisation seule. Le monde est aujourd’hui complexe et nécessite des réponses tout aussi complexes.
Les entreprises, en particulier celles basées aux États-Unis, doivent se pencher sérieusement sur la manière dont elles intègrent les systèmes et les logiciels dans leurs propres opérations.
Il doit y avoir un changement de paradigme dans la façon dont les consommateurs regardent leurs produits. Le désir que tout soit rendu moins cher et plus rapide a favorisé une hypothèse ignorante selon laquelle le réseau mondial fournissant ces avantages est sans faute. Peut-être que les gens seraient prêts à tolérer des prix plus élevés si cela signifiait que la disponibilité et la sécurité des marchandises étaient assurées.
De même, les fabricants de ces produits doivent considérer que ce mode de fonctionnement n’est pas durable. Il existe des risques reconnus liés à l’utilisation de chaînes d’approvisionnement juste à temps et à la sécurité de systèmes et de logiciels tiers. Le problème maintenant est que ces risques et leurs coûts peuvent avoir été approuvés sans le savoir.
Les entreprises, en particulier celles basées aux États-Unis, doivent se pencher sérieusement sur la manière dont elles intègrent les systèmes et les logiciels dans leurs propres opérations. Des évaluations des risques tierces plus strictes, des outils de sécurité conçus pour protéger les applications au moment de l’exécution et l’amélioration des mécanismes de vérification de confiance intégrés dans les mises à jour logicielles sont quelques-unes des solutions possibles. Il existe également une architecture de sécurité de plus en plus populaire appelée zéro confiance. Dans ce système, aucune personne, aucun appareil ou aucun service n’est considéré comme non malveillant, ce qui entraîne des conditions et des contrôles de chaîne sur les actions et les demandes d’accès effectuées dans un système.
Il est révolu le temps des chaînes d’approvisionnement simples qui reposaient sur la bonne volonté et le manque d’erreur des autres entités impliquées. Il est maintenant évident partout dans le monde que plus cette question sera ignorée longtemps, plus les impacts deviendront plus forts et plus dévastateurs. Évaluer la confiance placée dans ces systèmes complexes sera nécessaire pour éviter une nouvelle étagère vide, un canal bloqué ou une mise à jour de logiciels malveillants.
Caleb Larson
Caleb Larson est ingénieur en sécurité de l’information dans le secteur des services financiers et membre d’InfraGard, un partenariat entre le FBI et des organisations privées américaines d’infrastructure critique.
