Sécurisation de la chaîne d’approvisionnement logicielle : comment protéger vos logiciels des attaques sur les dépendances et mises à jour

Comprendre la chaîne d’approvisionnement logicielle et ses risques

La sécurisation de la chaîne d’approvisionnement logicielle est devenue un enjeu central de la cybersécurité moderne. Les attaques sur les dépendances, les bibliothèques open source et les mécanismes de mise à jour logicielle se multiplient, car elles permettent aux attaquants de compromettre un grand nombre d’organisations en une seule opération.

Par « chaîne d’approvisionnement logicielle », on entend l’ensemble des éléments intervenant dans la fabrication, la distribution, l’intégration et la maintenance d’un logiciel :

• les bibliothèques tierces (packages open source, frameworks, SDK) ;
• les outils de développement (CI/CD, systèmes de build, gestionnaires de paquets) ;
• les fournisseurs cloud et hébergeurs de dépôts de code ;
• les mécanismes de mise à jour (serveurs d’update, dépôts privés, stores applicatifs) ;
• les intégrateurs, infogérants, prestataires de services numériques.

Changer la perspective est essentiel : un logiciel n’est plus seulement une entité isolée, mais le produit d’un écosystème complexe, dans lequel la moindre dépendance compromise peut servir de point d’entrée à une attaque à grande échelle.

Typologie des attaques sur les dépendances et les mises à jour

Les attaques sur la chaîne d’approvisionnement logicielle prennent plusieurs formes, souvent combinées :

• Compromission de dépendances open source : un attaquant prend le contrôle d’un package (ou en publie un clone malveillant) sur un registre public (npm, PyPI, Maven Central, etc.) afin d’y injecter du code malveillant.
• Typosquatting et packages malveillants : publication de bibliothèques portant un nom très proche d’un package populaire (ex. : « requests » vs « requets » en Python), dans l’espoir que des développeurs fassent une erreur de frappe.
• Compromission de la chaîne CI/CD : accès non autorisé aux pipelines de build ou de déploiement pour injecter du code ou modifier les artefacts produits (exemple emblématique : attaque SolarWinds).
• Attaques sur les serveurs de mise à jour : compromission de serveurs d’update pour distribuer des mises à jour piégées ou détourner les flux vers un miroir malveillant.
• Injection de dépendances transitives : introduction de bibliothèques vulnérables ou backdoorées par le biais d’autres dépendances déjà utilisées dans le projet.
• Attaques sur les clés de signature : vol ou abus de certificats de signature de code afin de donner une apparence légitime à des binaires ou packages malveillants.

Ces scénarios démontrent que la simple vérification du code interne ne suffit plus. Il est indispensable de surveiller l’ensemble du cycle de vie logiciel, depuis l’intégration des composants tiers jusqu’aux mécanismes de mise à jour déployés chez les clients.

Cadre réglementaire : obligations et bonnes pratiques en Europe et en France

En Europe, plusieurs textes contribuent à encadrer la gestion des risques liés à la chaîne d’approvisionnement logicielle :

• Directive (UE) 2022/2555 dite NIS 2, relative à un niveau élevé commun de cybersécurité dans l’Union (JOUE L 333 du 27.12.2022) : elle impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques, incluant explicitement la sécurité de la chaîne d’approvisionnement et des relations avec les fournisseurs.
• Règlement (UE) 2016/679 (RGPD) : lorsqu’un traitement de données personnelles dépend d’un logiciel ou d’un service tiers, la responsabilité du responsable de traitement s’étend à la sécurité des sous-traitants (articles 28 et 32), ce qui inclut la robustesse de la chaîne d’approvisionnement logicielle utilisée.
• Directive (UE) 2022/2557 sur la résilience des entités critiques (CER) : elle renforce les exigences pour certains secteurs critiques, incluant des aspects de dépendance numérique et logicielle.

En France, ces textes européens sont transposés ou complétés par :

• le Code de la sécurité intérieure (notamment pour les opérateurs d’importance vitale et les opérateurs de services essentiels, articles L.1332-1 et suivants) ;
• les référentiels et guides de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui recommandent des mesures précises de gestion des dépendances, de durcissement des systèmes de développement et de sécurisation des mises à jour ;
• les obligations de sécurité imposées par le Code de la défense pour certains acteurs stratégiques.

Ces textes ne citent pas toujours explicitement chaque technologie (par exemple, « GitLab », « npm », etc.), mais imposent des obligations de moyens : gestion du risque, contrôle des prestataires, traçabilité, intégrité des systèmes, et réponse aux incidents.

Inventorier et cartographier ses dépendances logicielles

La sécurisation de la chaîne d’approvisionnement commence par une étape souvent négligée : savoir de quoi est composé son logiciel. Cette démarche passe par :

• l’inventaire de toutes les dépendances directes (bibliothèques importées explicitement dans le projet) ;
• la cartographie des dépendances transitives (sous-dépendances ajoutées automatiquement par les gestionnaires de paquets) ;
• l’identification des composants tiers intégrés (modules commerciaux, drivers, plugins, services SaaS) ;
• la création d’une SBOM (Software Bill of Materials), ou « nomenclature logicielle », listant l’ensemble des composants avec leurs versions et leurs licences.

La SBOM s’impose progressivement comme un standard de fait, soutenu notamment par l’initiative américaine autour de l’Executive Order 14028 sur la cybersécurité et des travaux de la NTIA (National Telecommunications and Information Administration). Même si ces textes sont américains, ils influencent fortement les pratiques européennes et françaises.

Pour générer une SBOM, plusieurs outils existent (CycloneDX, SPDX, etc.), compatibles avec les écosystèmes de développement modernes. L’objectif est de disposer d’une vue claire et à jour pour :

• évaluer l’exposition aux vulnérabilités connues (CVE) ;
• réagir rapidement lorsqu’une bibliothèque critique est compromise ;
• répondre aux exigences des clients et des régulateurs en matière de transparence.

Mettre en place une politique de gestion des dépendances

Une fois l’inventaire réalisé, il est nécessaire de définir une politique de gestion des dépendances robuste, intégrée au processus de développement :

• Validation des sources : n’autoriser le téléchargement de packages que depuis des dépôts officiels ou des registres internes contrôlés ; limiter l’usage de dépôts personnels ou non authentifiés.
• Versionnement maîtrisé : éviter les dépendances avec des versions flottantes (« latest », « ^1.0.0 », etc.) qui peuvent introduire des modifications inattendues ; privilégier des versions gelées (« pinned versions »).
• Revue de sécurité avant intégration : pour les composants critiques, réaliser une analyse de réputation (historique du projet, nombre de contributeurs, fréquence des mises à jour, réactivité face aux vulnérabilités).
• Audit continu des vulnérabilités : intégrer des outils de Software Composition Analysis (SCA) dans la CI/CD pour détecter en continu les bibliothèques vulnérables.
• Politique de retrait : définir une procédure claire pour remplacer ou retirer rapidement une dépendance compromise ou non maintenue.

Cette politique doit être formalisée dans la documentation interne (charte de développement sécurisé, référentiel sécurité, etc.) et soutenue par la direction afin de disposer des ressources nécessaires.

Sécuriser les pipelines CI/CD et les environnements de build

La chaîne CI/CD (intégration continue / déploiement continu) est un maillon stratégique. Une compromission à ce niveau permet d’injecter du code malveillant dans les artefacts distribués aux clients. Parmi les mesures essentielles :

• Segmentation et durcissement des environnements : isoler les runners ou agents de build, limiter les accès réseau, appliquer les principes de moindre privilège.
• Contrôle des identités et des accès : authentification forte (MFA), gestion stricte des droits sur les dépôts de code, les systèmes de build et les registres d’artefacts.
• Signature et vérification des artefacts : signer les binaires, images de conteneurs et packages ; vérifier systématiquement la signature avant déploiement.
• Traçabilité et journalisation : conserver des logs détaillés des builds, déploiements, modifications de configuration ; surveiller les activités anormales.
• Revue des scripts de build : auditer régulièrement les pipelines (GitLab CI, GitHub Actions, Jenkins, etc.) pour détecter les scripts non nécessaires, les téléchargements non authentifiés ou les dépendances ajoutées dynamiquement.

Les guides de l’ANSSI sur le développement et le déploiement sécurisé recommandent notamment de contrôler l’intégrité des environnements de compilation et de limiter les outils tiers pouvant exécuter du code pendant la phase de build.

Sécuriser les mécanismes de mise à jour logicielle

Les mises à jour logicielles sont un vecteur privilégié pour les attaquants, car elles bénéficient d’une forte confiance des utilisateurs. Pour réduire les risques :

• Signature des mises à jour : toutes les mises à jour (patchs, nouvelles versions, correctifs de sécurité) doivent être signées avec une clé dédiée, stockée et protégée de manière renforcée (HSM, coffre-fort matériel ou logiciel).
• Validation côté client : les clients doivent vérifier la signature et éventuellement un hash avant d’appliquer la mise à jour ; en cas d’échec, l’update doit être rejetée.
• Canaux de distribution sécurisés : utiliser HTTPS/TLS avec des certificats valides, limiter l’usage de miroirs non contrôlés, déployer des mécanismes de pinning de certificats pour certaines applications sensibles.
• Politique de roll-back : prévoir la possibilité de revenir à une version précédente en cas de détection d’un comportement anormal après une mise à jour.
• Surveillance des serveurs d’update : journalisation fine, alertes en cas de modification non autorisée des artefacts, contrôle d’intégrité régulier.

Dans certains secteurs réglementés (santé, énergie, opérateurs de communications électroniques), le régulateur ou l’autorité nationale (comme l’ANSSI) peut exiger des preuves de la robustesse des mécanismes de mise à jour, notamment dans le cadre d’audits ou de certifications.

Intégrer la sécurité de la chaîne d’approvisionnement dans la gouvernance

La sécurisation de la supply chain logicielle ne peut pas reposer uniquement sur les équipes techniques. Elle doit être intégrée :

• dans les contrats avec les fournisseurs (clauses de sécurité, exigences de transparence sur les dépendances, notification des incidents, audits tiers) ;
• dans la gestion des risques de l’organisation (cartographie des risques, plan de traitement, indicateurs de suivi) ;
• dans les procédures d’homologation et de mise en production (validation des SBOM, contrôle des versions, vérification des dépendances critiques) ;
• dans la formation des développeurs et DevOps (sensibilisation aux attaques par dépendances, bonnes pratiques de gestion de packages, revue de code orientée sécurité) ;
• dans les plans de réponse à incident (scénarios d’attaque via une librairie compromise, plan de communication, correctifs d’urgence).

Les autorités européennes et nationales, via la directive NIS 2 et les réglementations associées, insistent sur cette notion de gouvernance : la sécurité de la chaîne d’approvisionnement logicielle devient un enjeu stratégique qui engage la responsabilité des dirigeants, en particulier dans les entités essentielles et importantes.

Adopter une approche structurée, documentée et outillée permet non seulement de réduire le risque d’intrusion via les dépendances et les mises à jour, mais aussi de répondre aux attentes réglementaires et aux exigences croissantes des clients en matière de transparence et de confiance numérique.