L'open source dans l'entreprise - malgré Log4J

Sans le nombre en forte croissance de logiciels open source, ni les systèmes SAP ni la plupart des entreprises modernes ne fonctionneraient tout simplement aujourd'hui. Actuellement, l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) et la presse spécialisée - comme notre magazine E-3 - mettent en garde contre une grave faille de sécurité dans le logiciel Log4J, très répandu, avec un "niveau d'alerte rouge". Cette faille est également critique parce qu'elle permet non seulement aux pirates de s'introduire dans les réseaux d'entreprise sans être détectés, mais aussi d'installer des portes dérobées difficiles (voire impossibles) à trouver et d'installer un code malveillant de grande envergure dans les systèmes de l'entreprise. Même après une mise à jour réussie de Log4J, celui-ci ne peut être utilisé que bien plus tard et indépendamment de cela pour des attaques criminelles.

Même si cela semble être un risque théorique pour beaucoup, de nombreux systèmes ont malheureusement déjà été attaqués, compromis avec succès et ont causé des dommages importants. Contrairement aux logiciels SAP, les logiciels open source ne bénéficient généralement pas de mises à jour automatiques ni de notes telles que SAP-Notes (pour Log4J, SAP a créé une note SAP spéciale). Pour compliquer encore les choses, Log4J - comme beaucoup de logiciels open source - est une partie intégrante et cachée de nombreux autres composants et solutions, ce qui rend la recherche difficile et coûteuse.

Il est important que l'utilisation de composants open source dans l'entreprise soit réglée et surveillée par un processus professionnel. Pour cela, il existe des solutions spéciales, comme celles de la start-up VersionEye de Mannheim ou de Snyk d'Israël. Ces deux solutions ne connaissent pas seulement la version actuelle des différents composants, mais peuvent également surveiller des nomenclatures de composants open source imbriquées les unes dans les autres ; elles savent donc où les composants ont également été montés. En outre, ces solutions fournissent d'autres informations importantes, comme la qualité (par exemple la fréquence des mises à jour ou la diffusion), les failles de sécurité connues et les types de licence sous-jacents. Elles peuvent avertir automatiquement les développeurs lorsque des risques sont identifiés ou que des normes d'entreprise sont enfreintes, comme c'est le cas par exemple lors de l'utilisation de composants open source non approuvés.

Étant donné que les cyberattaques contre les entreprises et leurs chaînes de valeur augmentent en raison de l'importance, de la complexité et de l'évolution constante des mondes IT et SAP, la surveillance de l'infrastructure sous-jacente, comme les serveurs et les réseaux, devient de plus en plus importante, en plus de la surveillance open source. Bien que cela soit encore plus complexe que la surveillance open source, il convient néanmoins de commencer sans attendre et de se faire une idée de la situation actuelle en matière de risques dans sa propre entreprise. Outre des informations détaillées sur la situation en matière de sécurité, les solutions modernes telles que LocateRisk de Darmstadt ou la Security-Scorecard de New York, nettement plus ancienne, fournissent également une comparaison avec des entreprises similaires (groupe de pairs), afin de pouvoir mesurer où l'on se situe actuellement en matière de cybersécurité.

En outre, des recommandations sont généralement données pour remédier aux problèmes identifiés et améliorer sa propre situation de sécurité. Par exemple, LocateRisk propose un service spécial permettant de détecter et de corriger plus rapidement la menace actuelle de Log4J. Il est important que la surveillance open source et la surveillance de l'infrastructure soient aussi peu configurées et hautement automatisées que possible et qu'elles puissent être intégrées - si nécessaire - dans des systèmes et des tableaux de bord déjà existants.

Même si les perturbations actuelles de la chaîne d'approvisionnement mondiale n'ont (pour la plupart) pas été provoquées par des attaques de cybersécurité, mais entre autres par la pandémie Covid-19, cela pourrait changer. C'est pourquoi certains groupes font déjà surveiller leurs fournisseurs importants par des solutions de surveillance de la cybersécurité ou exigent des audits open source, comme par exemple SAP pour les partenaires dont les solutions figurent sur la liste de prix SAP.