Au travers des méandres toujours plus complexes de l’interconnexion numérique moderne, un danger voilé émerge lentement à la surface : un code logiciel compromis. Ce péril insoupçonné et omniprésent s’insinue dans les rouages mêmes des infrastructures critiques aux États-Unis, ébranlant les fondations de secteurs vitaux tels que les systèmes électriques, les pipelines de pétrole et de gaz, et les réseaux de communication. Une enquête récente a dévoilé une pléthore de vulnérabilités, dont certaines sont facilement exploitables par de potentiels acteurs malveillants, offrant ainsi une voie d’accès insidieuse aux systèmes essentiels. Le rapport souligne une statistique singulièrement troublante : un quart des composants logiciels analysés proviennent de développeurs en Chine, avec un risque accru de failles sécuritaires associées.
Au cœur de cette menace, quelques composants communs, agissant comme un maillon faible, détiennent la responsabilité de la majorité des vulnérabilités critiques découvertes. Cet écosystème vulnérable, exacerbé par la pression croissante de livrer des produits à un rythme effréné, pose un défi considérable pour ceux qui veillent à la protection de nos infrastructures essentielles, remettant en question les stratégies de défense et soulignant l’urgence d’actions préventives pour sécuriser notre avenir numérique.
Un code logiciel vulnérable au cœur des infrastructures critiques
Une étude récente menée par Fortress Information Security révèle que le code logiciel utilisé par les infrastructures critiques américaines présente une multitude de vulnérabilités, avec plus de 9 000 failles identifiées, dont 855 exploitées facilement par des acteurs malveillants. Cette découverte a mis en lumière l’importance de protéger ces systèmes de toute intrusion. Ces failles offrent à des attaquants potentiels une véritable porte d’entrée dans les réseaux vitaux tels que les réseaux électriques, les pipelines et les réseaux de communication.
La contribution des composants logiciels étrangers
Le rapport indique également que 25 % des composants logiciels et 90 % des produits contiennent du code provenant de développeurs en Chine. Cette présence significative de code international soulève des inquiétudes particulières, car le code développé en Chine a montré une probabilité 1,4 fois plus élevée d’abriter des vulnérabilités par rapport à celui d’autres régions. Les dépendances courantes telles que le noyau Linux et OpenSSL jouent un rôle crucial dans ces vulnérabilités. La nécessité de revoir le Software Bill of Materials (SBOM) est évidente pour limiter les menaces potentielles et atteindre une résilience optimale des infrastructures critiques.
Démarches pour renforcer la sécurité des infrastructures
Les experts de Fortress recommandent de se concentrer sur une vingtaine de composants qui cumulent plus de 80 % des vulnérabilités critiques. En agissant sur ces points sensibles, la protection des infrastructures comme les centrales électriques et les raffineries de pétrole deviendrait plus robuste. En se basant sur le modèle de protection détaillé par Checkpoint, il devient possible de neutraliser, voire d’éliminer certaines faiblesses.
