Gestion des risques liés à la chaîne d'approvisionnement logicielle dans la défense : cadres SCRM, SBOM et évaluation des fournisseurs

Par Corvus Intelligence Engineering Team · À propos de l'équipe →

25 juin 2026 12 min de lecture

La violation SolarWinds de 2020 a constitué un tournant majeur pour la sécurité de la chaîne d'approvisionnement logicielle. Des attaquants — ultérieurement attribués à un acteur étatique — ont inséré du code malveillant dans le processus de compilation de SolarWinds Orion, une plateforme de gestion de réseau utilisée par des milliers d'organisations, dont plusieurs agences fédérales américaines et des sous-traitants de défense. La mise à jour logicielle compromise a été distribuée par les canaux officiels, signée avec le certificat de signature de code légitime de SolarWinds, et indiscernable d'une mise à jour normale pour tout contrôle de sécurité automatisé. Dix-huit mille organisations ont installé la porte dérobée. L'intrusion est restée non détectée pendant des mois.

Pour les organisations de défense, cette classe d'attaque — l'implant adversarial dans la chaîne d'approvisionnement — représente un modèle de menace fondamentalement différent de l'attaque de périmètre ou du hameçonnage. L'adversaire n'a pas besoin de pénétrer directement dans l'organisation cible. Au lieu de cela, il compromet un fournisseur tiers de confiance, injecte des fonctionnalités malveillantes dans un produit logiciel, et attend que la cible installe une mise à jour dans le cadre de ses processus opérationnels normaux. Les défenses de la cible sont sans effet sur le compromis initial, car l'attaque arrive sous la forme d'un logiciel de confiance provenant d'une source de confiance.

La gestion des risques liés à la chaîne d'approvisionnement cyber (C-SCRM) est la discipline qui traite cette classe de menaces. Cet article couvre le cadre NIST SP 800-161 Rev. 1 que les acheteurs de défense sont tenus de mettre en œuvre, la visibilité des composants fondée sur les SBOM comme base technique, les pratiques d'évaluation de la sécurité des fournisseurs, le risque lié aux composants open source, les exigences contractuelles DFARS, et l'architecture de surveillance continue qui détecte les dépendances compromises après déploiement.

Pourquoi le risque lié à la chaîne d'approvisionnement logicielle est unique pour la défense

Les organisations de défense utilisent des logiciels provenant de deux grandes catégories : les produits commerciaux sur étagère (COTS) de fournisseurs commerciaux, et les logiciels sur mesure développés par des sous-traitants de défense dans le cadre de contrats propres à chaque programme. Les deux catégories comportent des risques liés à la chaîne d'approvisionnement, mais les profils de risque diffèrent significativement.

Le risque COTS et open source est le problème à la plus grande surface d'exposition. Un système de défense moderne peut inclure des dizaines de composants logiciels COTS — outils de gestion de réseau, bases de données, composants de systèmes d'exploitation, plateformes de conteneurisation et bibliothèques de communication. Chacun de ces produits est lui-même construit à partir de milliers de composants open source dotés de leurs propres communautés de mainteneurs, chaînes de dépendances et potentiel de compromission. La porte dérobée XZ Utils (CVE-2024-3094), découverte en mars 2024, a illustré ce risque : un contributeur malveillant a passé environ deux ans à gagner la confiance dans le projet XZ Utils avant d'insérer une porte dérobée dans le processus de compilation. XZ Utils fournit la compression de données sans perte et est présent dans pratiquement toutes les distributions Linux — y compris les piles de systèmes d'exploitation dans de nombreux déploiements de défense.

Les implants étatiques dans la chaîne d'approvisionnement diffèrent des attaques opportunistes par leur patience, leur sécurité opérationnelle et leur précision de ciblage. Les attaquants SolarWinds n'ont pas compromis chaque client ayant installé la porte dérobée — ils ont activé sélectivement l'implant uniquement contre des cibles de grande valeur. Cette activation sélective est spécifiquement conçue pour réduire le risque de détection : si la porte dérobée provoque des problèmes opérationnels généralisés, elle est détectée et attribuée. Les acteurs étatiques disposent des ressources et de la motivation nécessaires pour passer des mois à compromettre une chaîne d'approvisionnement logicielle afin d'accéder à une catégorie spécifique de cibles — et les organisations de défense figurent systématiquement parmi les cibles de la plus grande valeur.

Le développement de systèmes classifiés introduit des risques supplémentaires au niveau du pipeline de développement. L'infrastructure de compilation, les dépôts de code source, l'infrastructure de signature de code et les systèmes de distribution d'artefacts pour les programmes classifiés sont eux-mêmes des cibles. Une compromission du pipeline de compilation — même pour des logiciels développés entièrement en interne — peut introduire des modifications malveillantes entre le commit du développeur et l'artefact déployé. C'est pourquoi l'application du SBOM dans les pipelines de défense inclut de plus en plus des attestations de provenance de compilation (niveaux SLSA Build) qui lient cryptographiquement un artefact binaire au commit source spécifique et à l'environnement de compilation qui l'a produit.

La combinaison de ces facteurs signifie que le C-SCRM de défense doit traiter trois surfaces d'attaque distinctes : le produit du fournisseur et ses dépendances en amont, le pipeline de développement pour les logiciels développés en interne et par des sous-traitants, et les canaux de mise à jour/distribution par lesquels les logiciels parviennent aux systèmes déployés.

Cadre C-SCRM NIST SP 800-161 Rev. 1

La publication spéciale NIST 800-161 Révision 1 (mai 2022), « Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations », est le principal cadre pour le C-SCRM dans les contextes fédéraux américains et de défense. Elle fournit un modèle à quatre niveaux qui intègre la gestion des risques de la chaîne d'approvisionnement avec la hiérarchie plus large de gestion des risques d'une organisation.

Niveau 1 — Organisation : La direction générale établit la politique C-SCRM, attribue la responsabilité de gouvernance (un PMO C-SCRM ou un directeur des risques désigné), définit les seuils d'appétit pour le risque et alloue les ressources. À ce niveau, l'organisation répond à des questions stratégiques : quelles catégories de logiciels et de fournisseurs sont dans le périmètre du C-SCRM ? Quelle est la tolérance au risque de l'organisation pour les composants présentant des vulnérabilités connues dans les systèmes déployés ? Quelle est la voie d'escalade lorsqu'un compromis critique de la chaîne d'approvisionnement est découvert ? Sans politique de niveau 1, les activités C-SCRM aux niveaux inférieurs manquent d'autorisation et de gouvernance.

Niveau 2 — Mission/processus métier : Les chefs de programme et les responsables des acquisitions intègrent les exigences C-SCRM dans les véhicules d'approvisionnement, les modèles de contrats et la planification des programmes. À ce niveau, les exigences C-SCRM sont traduites en exigences d'acquisition spécifiques : obligations de livraison de SBOM, exigences de niveau CMMC, normes d'attestation de provenance et délais de notification des incidents. C'est là que la politique C-SCRM devient contractuellement exécutoire.

Niveau 3 — Système d'information : Les propriétaires de systèmes et les responsables de la sécurité des systèmes d'information (ISSO) appliquent les contrôles C-SCRM lors de la conception, du développement, de l'intégration et des opérations et de la maintenance (O&M) du système. À ce niveau, les activités C-SCRM comprennent l'inventaire des composants (analyse SBOM), la notation des risques fournisseurs, le suivi des vulnérabilités pour les composants déployés et la surveillance des fournisseurs. Le Plan de sécurité du système (SSP) doit inclure une section C-SCRM documentant les contrôles mis en œuvre et leur état actuel.

Niveau 4 — Fournisseur : Les sous-traitants et fournisseurs de sous-niveau mettent en œuvre les exigences C-SCRM qui leur sont transmises par les contrats. Cela comprend leur propre génération de SBOM pour les logiciels livrés, les obligations de notification d'incidents, les exigences de conformité CMMC et la gestion des fournisseurs de sous-niveau. Le niveau 4 est là où la théorie rencontre la pratique — la qualité de la mise en œuvre du C-SCRM au niveau du fournisseur détermine directement l'exposition au risque de l'organisation acquéreuse.

Le NIST 800-161 Rev. 1 cartographie les pratiques C-SCRM sur les cinq fonctions du cadre de cybersécurité NIST (CSF) — Identifier, Protéger, Détecter, Répondre, Récupérer — offrant un pont entre le C-SCRM et les programmes de cybersécurité plus larges que la plupart des organisations de défense maintiennent déjà. Les pratiques clés pour les acheteurs de défense dans la fonction Identifier comprennent la maintenance de l'inventaire des fournisseurs, l'analyse de criticité des logiciels et services acquis, et l'évaluation des risques de la chaîne d'approvisionnement. Dans la fonction Protéger : exigences SBOM, exigences d'attestation de provenance et gestion de la liste des fournisseurs approuvés. Dans Détecter : surveillance continue de la posture de sécurité des fournisseurs, abonnements aux flux de vulnérabilités et surveillance des composants par SBOM.

Le SBOM comme outil de visibilité de la chaîne d'approvisionnement

Un Software Bill of Materials (SBOM) est un inventaire lisible par machine de tous les composants d'un artefact logiciel — dépendances directes, dépendances transitives, outils de compilation et couches d'image de base pour les charges de travail conteneurisées. Dans un contexte C-SCRM, le SBOM répond à la question fondamentale de visibilité de la chaîne d'approvisionnement : qu'est-ce qui se trouve exactement dans ce produit logiciel, et certains de ces composants sont-ils connus comme étant vulnérables ou compromis ?

Génération de SBOM avec Syft et Trivy : Deux outils open source dominent la génération de SBOM pour les pipelines de défense. Syft (d'Anchore) génère des SBOM CycloneDX et SPDX à partir d'images de conteneurs, de systèmes de fichiers et de dépôts sources. Trivy (d'Aqua Security) combine la génération de SBOM avec le scan de vulnérabilités en un seul passage d'outil. Les deux outils prennent en charge le fonctionnement en mode air gap avec des bases de données de vulnérabilités en miroir local — une exigence critique pour les environnements de développement classifiés.

# Générer un SBOM CycloneDX à partir d'une image de conteneur avec Syft

syft myapp:latest -o cyclonedx-json > sbom-myapp-v1.2.3.cdx.json

# Générer un SBOM SPDX à partir d'un répertoire source

syft dir:/path/to/source -o spdx-json > sbom-source-v1.2.3.spdx.json

# Trivy : génération combinée de SBOM et scan de vulnérabilités

trivy image --format cyclonedx --output sbom.cdx.json myapp:latest

trivy sbom --severity HIGH,CRITICAL sbom.cdx.json

Le choix du format SBOM importe dans les contextes de défense. CycloneDX (actuellement en version 1.6) bénéficie d'un large support d'outillage et inclut des champs pour la provenance des composants, l'état des correctifs et l'accusé de réception des vulnérabilités — des fonctionnalités importantes pour la documentation des programmes de défense. SPDX (Software Package Data Exchange) est le format préféré du NIST référencé dans les orientations de l'EO 14028 et connaît une adoption plus forte dans la communauté de conformité aux licences open source. De nombreux programmes de défense maintiennent les deux formats depuis la même étape du pipeline, car différents consommateurs en aval (scanners de vulnérabilités vs outils d'examen juridique/PI) peuvent préférer différents formats.

Analyse SBOM pour les composants présentant des vulnérabilités connues : Une fois un SBOM généré, il est analysé par rapport aux bases de données de vulnérabilités. La base de données OSV (Open Source Vulnerabilities) agrège les CVE dans tous les principaux écosystèmes de langages (PyPI, npm, Maven, Go, Rust, Ruby, etc.) et est disponible en tant que base de données JSON capable de mise en miroir locale — importante pour les environnements en mode air gap. La NVD (National Vulnerability Database) fournit l'ensemble de données CVE faisant autorité avec des scores CVSS. Grype (d'Anchore) et osv-scanner (de Google) sont les principaux scanners SBOM vers base de données de vulnérabilités utilisés dans les pipelines de défense.

# Scanner un SBOM CycloneDX avec grype (sortie en sarif pour ingestion SIEM)

grype sbom:sbom-myapp-v1.2.3.cdx.json -o sarif > vuln-report.sarif

# Scanner avec osv-scanner contre une base de données OSV en miroir local

osv-scanner --config=osv-config.toml --sbom=sbom-myapp-v1.2.3.cdx.json

# Croiser les résultats avec CISA KEV (nécessite jq)

curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json \

  | jq '.vulnerabilities[].cveID' > kev-ids.txt

grep -f kev-ids.txt vuln-report.sarif

Pour les programmes de défense, l'intégration du SBOM avec la chaîne d'outils DevSecOps pour les pipelines de défense signifie que la génération de SBOM et le scan de vulnérabilités s'exécutent automatiquement à chaque compilation. Les résultats sont publiés dans un tableau de bord de sécurité centralisé, et les portes du pipeline rejettent les compilations comportant des composants répertoriés dans KEV ou avec un score CVSS 9.0+ à moins qu'un ticket d'exception approuvé existe. L'artefact SBOM et ses résultats de scan de vulnérabilités sont signés et stockés avec l'artefact de compilation dans le cadre du package de livraison.

Évaluation de la sécurité des fournisseurs pour les logiciels de défense

L'analyse SBOM indique ce qui se trouve dans le produit d'un fournisseur — mais elle ne révèle pas si l'environnement de développement, le pipeline de compilation et l'infrastructure de distribution du fournisseur sont eux-mêmes sécurisés. L'évaluation de la sécurité des fournisseurs comble cette lacune : elle évalue la posture de sécurité du fournisseur, pas seulement la sécurité de l'artefact qu'il livre.

Conception du questionnaire de sécurité aligné sur le NIST SP 800-171 : Le principal cadre pour évaluer la sécurité des fournisseurs de logiciels de défense est le NIST SP 800-171, « Protection des informations non classifiées contrôlées dans les systèmes et organisations non fédéraux ». Un questionnaire d'évaluation des fournisseurs organisé autour des 14 familles de contrôles NIST 800-171 fournit une approche d'évaluation structurée et auditable. Les 14 familles sont : Contrôle d'accès, Sensibilisation et formation, Audit et responsabilité, Gestion de la configuration, Identification et authentification, Réponse aux incidents, Maintenance, Protection des médias, Sécurité du personnel, Protection physique, Évaluation des risques, Évaluation de la sécurité, Protection des systèmes et des communications, et Intégrité des systèmes et des informations.

Pour chaque famille de contrôles, le questionnaire doit demander :

Quels contrôles sont en place ? (pièces justificatives demandées)
Quel est le score SPRS actuel et quelle est la méthodologie utilisée pour le calculer ?
Existe-t-il des éléments ouverts de Plan d'action et de jalons (POA&M) ? Si oui, quelle est la date de clôture cible ?
Le fournisseur a-t-il fait l'objet d'une évaluation de sécurité par un tiers au cours des 24 derniers mois ? Si oui, par qui et selon quelle norme ?
Quelle est la procédure du fournisseur pour gérer la sécurité des fournisseurs de sous-niveau ?

Exigences de niveau CMMC : Dans le cadre du programme Cybersecurity Maturity Model Certification (CMMC), les fournisseurs de logiciels de défense qui traitent des informations non classifiées contrôlées (CUI) doivent atteindre au minimum le niveau CMMC 2, qui exige les 110 exigences du NIST SP 800-171 et une évaluation par un tiers via une organisation d'évaluation tierce CMMC (C3PAO). Les acheteurs doivent vérifier le statut de certification CMMC des fournisseurs via le marché CMMC AB avant l'attribution du contrat, et exiger la recertification si le certificat du fournisseur approche de l'expiration. Pour les programmes impliquant des programmes d'acquisition sensibles ou confrontés à des acteurs de menaces persistantes avancées, le niveau CMMC 3 (qui ajoute des exigences NIST SP 800-172) peut être approprié.

Les exigences d'évaluation par des tiers s'étendent au-delà du CMMC. Des tests d'intrusion de l'environnement de développement du fournisseur (spécifiquement le pipeline de compilation et l'infrastructure de distribution d'artefacts) devraient être une exigence périodique pour les fournisseurs qui fournissent des logiciels aux programmes de défense à forte valeur. L'examen du code source pour les composants critiques — soit par l'équipe de sécurité de l'organisation acquéreuse, soit par un tiers indépendant — fournit une assurance qui va au-delà de ce que le scan automatisé peut détecter.

Gestion des risques liés aux composants open source

Les composants logiciels open source présentent un profil de risque distinct par rapport aux fournisseurs commerciaux. Il n'y a pas de fournisseur à évaluer, pas de contrat pour faire respecter les exigences de sécurité, et souvent aucune structure de gouvernance formelle à responsabiliser. Pourtant, les logiciels de défense modernes sont largement construits sur des fondations open source — systèmes d'exploitation, plateformes de conteneurisation, bibliothèques cryptographiques, protocoles de communication et frameworks d'application sont principalement open source.

Conformité aux licences OSS — risque de contamination GPL : La Licence Publique Générale GNU (GPL) est une licence copyleft qui exige que les œuvres dérivées soient distribuées sous la même licence, y compris en rendant le code source disponible. Pour les logiciels de défense comportant des algorithmes propriétaires ou des composants classifiés, l'incorporation par inadvertance de code sous licence GPL peut déclencher des obligations de publier du code source qui ne devrait pas être public. La LGPL (Lesser GPL) ne se déclenche que lorsque la bibliothèque est liée statiquement ; l'AGPL (Affero GPL) se déclenche même pour les logiciels utilisés sur un réseau sans distribution. Un scanner de conformité aux licences — FOSSA (commercial), Black Duck (commercial), ou l'outillage open source REUSE — doit analyser chaque composant du SBOM avant chaque livraison, avec une politique définie pour chaque type de licence : permis, permis avec conditions (LGPL avec liaison dynamique uniquement), ou interdit (GPL dans un contexte exécutable).

L'évaluation des risques liés aux mainteneurs est la dimension facteur humain du risque OSS. La porte dérobée XZ Utils a été mise en œuvre par un contributeur malveillant qui a passé environ deux ans à construire sa réputation et son historique de commits dans le projet avant d'insérer la porte dérobée. L'évaluation des risques liés aux mainteneurs implique d'examiner :

Le nombre de mainteneurs actifs et le facteur bus (que se passe-t-il si le mainteneur principal unique devient indisponible ou est compromis ?)
La répartition géographique et l'affiliation organisationnelle des contributeurs clés — des contributeurs significatifs sont-ils affiliés à des organisations dans des pays présentant des préoccupations liées à la menace de la chaîne d'approvisionnement ?
Les pratiques de publication et de signature du projet — les versions sont-elles signées ? La clé de signature est-elle détenue par un seul individu ou distribuée ?
La réponse du projet aux problèmes de sécurité passés — à quelle vitesse les CVE ont-ils été traités ? La communauté était-elle réactive ?
Le score OpenSSF Scorecard — un indicateur automatisé de la santé de la communauté couvrant la protection des branches, les pratiques de sécurité CI/CD, l'épinglage des dépendances et d'autres indicateurs

Stratégie de fork pour les composants OSS critiques : Pour les composants qui sont à la fois critiques pour la fonction du système et présentent un risque élevé lié aux mainteneurs, une stratégie de fork offre un contrôle au prix d'une charge de maintenance. L'organisation maintient un fork interne du composant dans son propre registre d'artefacts. Les mises à jour du projet en amont sont examinées par l'équipe de sécurité de l'organisation avant d'être intégrées. Si le projet en amont publie une mise à jour malveillante, le fork de l'organisation est isolé — la version malveillante n'atteint jamais le registre d'artefacts. La stratégie de fork est appropriée pour un petit ensemble de composants vraiment critiques (bibliothèques cryptographiques, modules d'authentification, implémentations de protocoles fondamentaux) — son application universelle créerait une dette de maintenance ingérable.

Exigences contractuelles SCRM et clauses DFARS

Les exigences C-SCRM deviennent juridiquement exécutoires par le biais de clauses contractuelles. Les acquisitions de défense utilisent une combinaison de clauses DFARS obligatoires et d'exigences SCRM propres au programme négociées dans les termes contractuels.

DFARS 252.204-7012 (Protection des informations de défense couvertes et notification des cyber incidents) est la clause fondamentale pour la cybersécurité des sous-traitants de défense. Ses obligations comprennent : une sécurité adéquate (mise en œuvre du NIST SP 800-171 sur tous les systèmes qui traitent, stockent ou transmettent des informations de défense couvertes), une notification rapide des cyber incidents au DoD dans les 72 heures suivant la découverte, la conservation des images des systèmes compromis pendant 90 jours pour les investigations légales potentielles du DoD, et la soumission de logiciels malveillants lorsque des logiciels malveillants sont découverts en lien avec un incident signalé. Pour les besoins du C-SCRM, l'exigence de notification dans les 72 heures est la plus exigeante sur le plan opérationnel : les sous-traitants doivent disposer de capacités de détection, d'investigation et de notification pouvant fonctionner de bout en bout dans ce délai, y compris pour les incidents de la chaîne d'approvisionnement (un produit fournisseur compromis utilisé dans l'environnement de développement du sous-traitant).

Les clauses d'attestation de provenance des logiciels — de plus en plus insérées dans les contrats de logiciels de défense depuis l'EO 14028 — exigent que les sous-traitants livrent des attestations signées que leurs logiciels ont été produits conformément à des pratiques de développement sécurisé définies. Les mémorandums OMB M-22-18 et M-23-16 définissent les exigences minimales d'attestation du développement sécurisé de logiciels pour les acquisitions de logiciels fédéraux. Ces attestations font référence au NIST Secure Software Development Framework (SSDF) et exigent des pratiques spécifiques : protection de l'environnement de compilation, génération de SBOM, scan de vulnérabilités avant livraison et maintien des preuves d'examen de sécurité. Les sous-traitants doivent utiliser les attestations de provenance SLSA Build Level 2 ou Level 3 pour fournir des preuves cryptographiques reliant le binaire livré au commit source spécifique et à l'environnement de compilation.

Exigences de transmission aux sous-traitants : Les obligations C-SCRM du sous-traitant principal ne s'arrêtent pas à sa limite organisationnelle. Tout sous-traitant qui traite des informations de défense couvertes ou qui fournit des composants logiciels incorporés dans le système livré doit recevoir des exigences équivalentes via la transmission contractuelle. Cela comprend le DFARS 252.204-7012 (obligatoire le cas échéant), les obligations de livraison de SBOM, les exigences d'attestation de provenance des logiciels, les exigences de niveau CMMC équivalentes à celles requises pour le titulaire principal, et les obligations de notification au titulaire principal dans un délai défini (généralement 24 à 48 heures) lorsque le sous-traitant subit une violation. Les titulaires principaux sont contractuellement responsables de la vérification de la conformité des sous-traitants — « mon sous-traitant a été compromis et je ne le savais pas » n'est pas une explication acceptable pour le client gouvernemental.

Les restrictions relatives au pays d'origine ajoutent une autre couche : la section 889 de la NDAA interdit l'utilisation de certains équipements de télécommunications et de vidéosurveillance de fabricants désignés dans les programmes gouvernementaux américains, et les dispositions ultérieures de la NDAA ont étendu les restrictions aux composants logiciels. Les modèles de contrats doivent inclure des interdictions explicites de pays d'origine alignées sur la liste de restrictions NDAA en vigueur, et l'analyse SBOM doit signaler les composants dont l'origine connue ou l'affiliation du mainteneur peut soulever des préoccupations.

Surveillance SCRM continue

L'évaluation SCRM statique — réaliser une évaluation des fournisseurs et un scan SBOM à l'attribution du contrat, puis classer les résultats — fournit une image des risques à un moment précis qui est dépassée le lendemain de l'évaluation. La surveillance SCRM continue maintient une image des risques en temps réel en s'abonnant aux flux de renseignements sur les vulnérabilités et en corrélant automatiquement les nouveaux renseignements avec l'inventaire des composants déployés.

Flux d'alertes de vulnérabilités : Les deux principaux flux pour la surveillance continue sont CISA KEV et NVD. Le catalogue CISA Known Exploited Vulnerabilities (KEV) est mis à jour en continu et contient des CVE confirmés comme ayant été activement exploités — ceux-ci représentent les cibles de remédiation les plus prioritaires quelle que soit leur score CVSS, car ils ne sont pas des risques théoriques mais des techniques d'attaque confirmées. La NVD fournit l'ensemble de données CVE complet avec des scores CVSS v3.1 et v4.0. Les deux sont disponibles sous forme de flux JSON lisibles par machine adaptés à l'ingestion automatisée.

Pour les charges de travail conteneurisées, les pratiques de sécurité des images de conteneurs pour la défense incluent le re-scan au niveau du registre : lorsqu'une nouvelle vulnérabilité est publiée qui affecte une version de paquet OS présente dans les images stockées, le registre (Harbor, par exemple) re-scanne automatiquement les images affectées et les marque comme échouant à la politique de vulnérabilité. Cela déclenche une notification à l'équipe responsable sans nécessiter d'action manuelle.

Re-scan automatisé des composants lors de nouveaux CVE : L'architecture d'automatisation pour la surveillance SCRM continue intègre trois flux de données : (1) l'inventaire SBOM (tous les composants de tous les systèmes déployés), (2) les renseignements entrants CVE/KEV, et (3) le système de tickets de remédiation. Lorsqu'un nouveau CVE est publié, un processus automatisé interroge l'inventaire SBOM pour tout composant déployé correspondant au paquet affecté et à la plage de versions. Si une correspondance est trouvée, un ticket de remédiation est automatiquement créé avec une priorité dérivée du flux de renseignements (correspondance KEV = P0 immédiat, CVSS 9.0+ = P1 prochain jour ouvrable, CVSS 7.0-8.9 = P2 ticket de sprint). Cela élimine l'étape de triage manuel qui retarde typiquement la remédiation des vulnérabilités dans les organisations qui s'appuient sur des cycles de scan périodiques.

# Pseudocode de surveillance continue — interroger l'inventaire SBOM contre un nouveau KEV

NEW_KEV_ID="CVE-2024-XXXXX"

SBOM_STORE="/opt/sbom-archive"  # répertoire local de tous les SBOM produits

# Scanner tous les SBOM archivés pour le CVE affecté

for sbom in "$SBOM_STORE"/*.cdx.json; do

  PRODUCT=$(basename "$sbom" .cdx.json)

  MATCH=$(grype sbom:"$sbom" --only-fixed=false -q | grep "$NEW_KEV_ID")

  if [ -n "$MATCH" ]; then

    echo "CORRESPONDANCE KEV : $PRODUCT contient $NEW_KEV_ID — escalader immédiatement"

    # trigger-remediation-ticket --product "$PRODUCT" --cve "$NEW_KEV_ID" --priority P0

  fi

done

Réponse aux incidents pour les dépendances compromises : Lorsqu'une dépendance est découverte comme étant compromise — non pas simplement vulnérable mais activement dotée d'une porte dérobée, comme dans le cas XZ Utils — le processus de réponse diffère d'une remédiation CVE. Les étapes clés sont :

Évaluer immédiatement le périmètre : Interroger l'inventaire SBOM pour recenser chaque déploiement contenant la version du composant affecté. Cela devrait prendre des minutes, pas des jours — une évaluation lente est un échec du programme C-SCRM.
Évaluer l'exploitabilité : Déterminer si le code malveillant a effectivement été exécuté dans le contexte de déploiement. XZ Utils, par exemple, n'était exploitable que lorsqu'il était chargé par une version spécifique de systemd — les systèmes sans cette configuration n'étaient pas affectés même s'ils avaient le paquet malveillant installé.
Notifier dans les 72 heures : Le DFARS 252.204-7012 exige une notification au DoD dans les 72 heures. La notification aux clients doit avoir lieu simultanément — pas après la fin de l'enquête interne.
Remédier et vérifier : Mettre à jour vers une version propre ou activer la stratégie de fork. Effectuer une vérification d'intégrité des artefacts système qui peuvent avoir été produits en utilisant le composant compromis.
Revue post-incident : Identifier quel contrôle C-SCRM aurait dû détecter la compromission plus tôt — couverture SBOM insuffisante, évaluation manquante des risques liés aux mainteneurs, absence de stratégie de fork pour un composant critique — et mettre à jour le programme en conséquence.

Indicateur de maturité du programme : Un programme C-SCRM mature peut répondre à trois questions en moins d'une heure, à tout moment : (1) quelle version d'un composant nommé est déployée dans chaque système de production ? (2) lorsqu'un nouveau CVE est publié pour ce composant, quels systèmes sont affectés ? (3) qui est le propriétaire responsable de chaque système affecté ? Les programmes qui ne peuvent pas répondre rapidement à ces questions opèrent avec un risque de chaîne d'approvisionnement qu'ils ne peuvent pas quantifier ni gérer — une position de plus en plus intenable au regard des attentes actuelles du DoD et de ses partenaires alliés.

La dimension organisationnelle de la surveillance SCRM continue est aussi importante que la dimension technique. Quelqu'un doit être propriétaire du processus de surveillance, être de permanence pour les alertes P0, et avoir l'autorité de mettre un système hors ligne ou de lancer un cycle de correctif d'urgence lorsqu'une correspondance KEV ou une dépendance compromise est découverte. Une responsabilité C-SCRM répartie entre plusieurs équipes sans propriétaire unique responsable produit systématiquement des réponses tardives — exactement le mode d'échec sur lequel les adversaires comptent.

Discutez de votre projet

Nous mettons en œuvre des programmes C-SCRM pour les sous-traitants de logiciels de défense — de l'intégration du pipeline SBOM aux cadres d'évaluation des fournisseurs et à l'architecture de surveillance continue alignée sur le NIST SP 800-161 et les exigences DFARS.

Services de cybersécurité → Services de développement

Cette analyse a été préparée par les ingénieurs de Corvus Intelligence qui développent des logiciels critiques pour les organisations de défense et gouvernementales. En savoir plus sur notre équipe →

Questions fréquemment posées

Qu'est-ce que le C-SCRM et pourquoi est-il important pour la défense ?

La gestion des risques liés à la chaîne d'approvisionnement cyber (C-SCRM) est la discipline consistant à identifier, évaluer et atténuer les risques introduits dans un système par sa chaîne d'approvisionnement logicielle — le réseau de fournisseurs, de composants open source, d'outils de compilation et de canaux de distribution qui contribuent à un produit fini. Pour les organisations de défense, le C-SCRM est essentiel car les adversaires ont démontré leur volonté et leur capacité à compromettre des produits logiciels commerciaux avant qu'ils n'atteignent le client. La violation SolarWinds Orion (2020) et la porte dérobée XZ Utils (2024) en sont des exemples canoniques. Le NIST SP 800-161 Rev. 1 (2022) est le cadre faisant autorité que les acheteurs de défense sont censés mettre en œuvre.

Quels sont les quatre niveaux du modèle C-SCRM du NIST SP 800-161 ?

Le NIST SP 800-161 Rev. 1 structure le C-SCRM sur quatre niveaux qui reflètent la hiérarchie de gouvernance d'une organisation. Le niveau 1 est le niveau organisationnel — la direction générale définit la politique C-SCRM, le financement et l'appétit pour le risque. Le niveau 2 est le niveau mission/processus métier — les chefs de programme intègrent les exigences C-SCRM dans la planification des acquisitions et les véhicules contractuels. Le niveau 3 est le niveau système d'information — les propriétaires de systèmes appliquent les contrôles C-SCRM lors de la conception, du développement et de l'O&M. Le niveau 4 est le niveau fournisseur — les sous-traitants et fournisseurs de sous-niveau mettent en œuvre les exigences qui leur sont transmises via contrat. Les risques identifiés au niveau 4 (un composant vulnérable d'un sous-traitant) doivent remonter aux niveaux 3 et 2 pour la prise de décision organisationnelle.

Qu'est-ce qu'un SBOM et comment est-il utilisé pour la gestion des risques de la chaîne d'approvisionnement ?

Un Software Bill of Materials (SBOM) est un inventaire lisible par machine de tous les composants — dépendances directes et transitives — d'un artefact logiciel. Dans un contexte C-SCRM, le SBOM est la base de la visibilité de la chaîne d'approvisionnement : il indique quel code tiers se trouve dans un produit que vous avez déployé ou que vous évaluez. Des outils comme Syft (Anchore) et Trivy (Aqua) génèrent des SBOM au format CycloneDX ou SPDX à partir d'images de conteneurs ou de dépôts sources. Le SBOM est ensuite analysé par rapport aux bases de données de vulnérabilités (OSV, NVD) et au catalogue CISA Known Exploited Vulnerabilities pour identifier les composants nécessitant une remédiation immédiate. Sans SBOM, l'évaluation des risques de la chaîne d'approvisionnement est une approximation.

En quoi consiste l'auto-attestation NIST SP 800-171 pour les fournisseurs de défense ?

Le NIST SP 800-171 définit 110 exigences de sécurité réparties en 14 familles de contrôles pour la protection des informations non classifiées contrôlées (CUI) dans les systèmes non fédéraux. Avant que le programme CMMC n'exige une évaluation par des tiers pour les niveaux supérieurs, les fournisseurs pouvaient auto-attester leur conformité en complétant le score du système DoD Supplier Performance Risk System (SPRS). L'auto-attestation exige que le fournisseur examine chacune des 110 exigences, documente la manière dont l'exigence est satisfaite (ou prévoit de l'être), et calcule un score sur la base de la méthodologie d'évaluation NIST SP 800-171A. Les acheteurs recevant des auto-attestations doivent valider la méthodologie utilisée et rechercher des signes de mise en œuvre crédible — éléments POA&M avec des dates de clôture réalistes, preuves d'exercices d'identification des CUI et documentation cohérente de la politique de sécurité.

Quel niveau CMMC est requis pour les fournisseurs de logiciels de défense ?

Le cadre Cybersecurity Maturity Model Certification (CMMC) comporte trois niveaux. Le niveau 1 (Fondamental) exige 17 exigences de protection de base pour les Federal Contract Information (FCI) — auto-évalué. Le niveau 2 (Avancé) exige les 110 exigences du NIST SP 800-171 pour le traitement des CUI — évaluation par un tiers (C3PAO) requise pour les programmes avec CUI. Le niveau 3 (Expert) ajoute un sous-ensemble d'exigences NIST SP 800-172 pour les programmes à forte valeur confrontés à des menaces persistantes avancées — évalué par la DCSA. La plupart des fournisseurs de logiciels de défense traitant des CUI dans leurs environnements de développement auront besoin au minimum du niveau CMMC 2. Les acheteurs doivent spécifier le niveau CMMC requis dans les appels d'offres, et l'exigence se transmet aux sous-traitants traitant des CUI.

Qu'est-ce que le risque de contamination GPL et pourquoi est-il important pour les logiciels de défense ?

La contamination GPL — plus précisément appelée propagation copyleft — se produit lorsque du code open source sous licence GPL est incorporé dans un produit logiciel propriétaire d'une manière qui déclenche les exigences de distribution de la GPL. La GPL exige que lorsque vous distribuez un logiciel incorporant du code sous licence GPL, vous deviez également distribuer le code source de l'œuvre combinée sous la GPL. Pour un fournisseur de logiciels de défense disposant d'algorithmes propriétaires ou de composants classifiés, le déclenchement accidentel des obligations GPL pourrait exiger la publication de code source qui ne devrait pas être public, violer les clauses de protection de la PI contractuelles, ou cesser la distribution. La LGPL et l'AGPL ont des conditions de déclenchement différentes. Des outils de scan de conformité aux licences comme FOSSA, Black Duck, ou l'outillage open source REUSE doivent scanner chaque dépendance dans le SBOM avant toute livraison de logiciel.

Quelles sont les obligations du DFARS 252.204-7012 pour les sous-traitants de logiciels de défense ?

Le DFARS 252.204-7012 (Protection des informations de défense couvertes) est une clause obligatoire dans la plupart des contrats DoD impliquant des informations de défense couvertes (CDI) ou un soutien opérationnellement critique. Ses principales obligations sont : une sécurité adéquate (mise en œuvre du NIST SP 800-171 sur tous les systèmes traitant les CDI), une notification rapide des cyber incidents au DoD dans les 72 heures suivant la découverte, la conservation des images des systèmes compromis pendant 90 jours, et la soumission de logiciels malveillants découverts en lien avec un incident signalé. La fenêtre de notification de 72 heures est exigeante sur le plan opérationnel — les sous-traitants doivent disposer d'un plan de réponse aux incidents qui permet la détection, l'investigation et la notification dans ce délai. La clause exige également la notification au DoD si un sous-traitant subit un cyber incident à signaler.

Comment le KEV CISA s'intègre-t-il dans la surveillance SCRM continue ?

Le catalogue CISA Known Exploited Vulnerabilities (KEV) est une liste organisée de CVE qui ont été activement exploités, avec des délais de remédiation obligatoires pour les agences fédérales (généralement 2 semaines pour les critiques/élevés sous BOD 22-01). Pour les sous-traitants de défense, KEV est le signal de vulnérabilité le plus prioritaire : un composant dans votre SBOM qui apparaît dans KEV est activement exploité et nécessite une action immédiate, quelle que soit sa valeur CVSS. Les pipelines de surveillance SCRM automatisés doivent s'abonner au flux JSON KEV (mis à jour quotidiennement) et croiser chaque composant SBOM avec celui-ci. Lorsqu'une nouvelle entrée KEV correspond à un composant dans un produit déployé, l'ingénieur de sécurité de permanence reçoit une alerte immédiate et un ticket de remédiation est créé automatiquement.

Qu'est-ce qu'une stratégie de fork pour les composants OSS critiques ?

Une stratégie de fork pour les composants open source critiques signifie maintenir une copie contrôlée par l'organisation d'une dépendance OSS critique plutôt que de la consommer directement depuis le registre public en amont. Le fork est hébergé dans le registre d'artefacts interne de l'organisation (Nexus, Artifactory, ou un équivalent en mode air gap). Lorsque le projet en amont publie une mise à jour, l'organisation examine les changements avant de les intégrer dans le fork interne — un processus qui détecte les mises à jour malveillantes avant qu'elles n'atteignent la production. C'est particulièrement important pour les composants dont les mainteneurs ont démontré une activité réduite, une gouvernance ambiguë ou une exposition potentielle à l'influence d'acteurs étatiques. La contrepartie est la charge de maintenance : l'équipe doit examiner et intégrer les correctifs de sécurité en amont en temps voulu, ou le fork prend du retard et accumule sa propre dette de vulnérabilités.

Quelles sont les principales exigences contractuelles de transmission SCRM aux sous-traitants ?

Lorsqu'un titulaire principal reçoit un contrat DoD avec des exigences C-SCRM, celles-ci doivent être transmises aux sous-traitants qui traitent des informations couvertes ou fournissent des composants logiciels. Les principales exigences de transmission comprennent : le DFARS 252.204-7012 (notification des cyber incidents, sécurité adéquate — obligatoire lorsque le sous-traitant traite des CDI), l'exigence de niveau CMMC équivalente à celle requise pour le titulaire principal, l'obligation de livraison de SBOM pour chaque composant logiciel livré, l'attestation de provenance des logiciels (SLSA Build Level 2 ou équivalent), l'interdiction de certains logiciels et matériels selon le pays d'origine (conformément à la section 889 de la NDAA et aux restrictions associées), et l'obligation de notification au titulaire principal dans un délai défini si le sous-traitant subit une violation. Les titulaires principaux sont responsables de la vérification de la conformité des sous-traitants — les certificats CMMC des sous-traitants doivent être validés via le marché CMMC AB.