Sécurité logistique des conteneurs : sécuriser les chaînes IT

4 min de lecture

En moyenne, 604 vulnérabilités connues se cachent dans les images conteneur les plus utilisées sur Docker Hub. 84 % de toutes les bases de code commerciales contiennent au moins une vulnérabilité open source. Et le Cyber Resilience Act de l’UE rendra les Software Bills of Materials obligatoires à partir de 2027. Pour les équipes IT de la logistique, la sécurité de la chaîne d’approvisionnement logicielle n’est plus un sujet optionnel – l’obligation SBOM se rapproche.

L’essentiel en bref

• 604 vulnérabilités par image : Les 70 images conteneur les plus utilisées sur Docker Hub contiennent en moyenne 604 vulnérabilités connues, dont plus de 40 % sont critiques ou élevées (NetRise, décembre 2024).
• 75 % concernés : Trois organisations sur quatre ont subi une attaque de la chaîne d’approvisionnement logicielle en l’espace d’un an (BlackBerry, 2024).
• 704.102 paquets malveillants : Depuis 2019, plus de 700 000 paquets malveillants ont été identifiés dans les dépôts publics, avec une croissance de 156 % par rapport à l’année précédente (Sonatype, 2024).
• Obligation SBOM à partir de 2027 : Le Cyber Resilience Act de l’UE exige des Software Bills of Materials lisibles par machine pour tous les produits numériques. Sanctions : jusqu’à 15 millions d’euros (UE CRA, 2024).
• NIS2 impacte directement la logistique : Transport, entreposage et expédition font partie des secteurs concernés. Obligation de déclaration : 24 heures après la découverte d’un incident.

Pourquoi la chaîne d’approvisionnement logicielle est la nouvelle porte d’entrée

La surface d’attaque s’est déplacée. Au lieu de cibler directement les entreprises, les attaquants compromettent des composants logiciels utilisés par des milliers d’entreprises simultanément. L’incident XZ-Utils de mars 2024 (CVE-2024-3094, CVSS 10.0) a démontré ce risque : un seul attaquant a infiltré un projet open source pendant plus de trois ans – à l’instar de la campagne GlassWorm en mars 2026 – et a placé une backdoor permettant l’exécution de code à distance via SSH. L’attaque n’a été découverte que par hasard, lorsqu’un développeur de Microsoft a remarqué un délai inhabituel (CISA Alert, mars 2024).

Pour la logistique, le risque est particulièrement élevé. NotPetya a démontré en 2017 ce qui se passe lorsqu’une mise à jour logicielle compromise touche une chaîne d’approvisionnement : Maersk a perdu l’accès à environ 50 000 terminaux et 76 terminaux portuaires dans 130 pays. Le préjudice : environ 300 millions de dollars pour Maersk seulement, et une estimation mondiale de 10 milliards de dollars (CSOOnline).

Source : NetRise Supply Chain Visibility Study, décembre 2024

Ce que contiennent les conteneurs

L’étude NetRise de décembre 2024 a analysé les 70 images conteneur les plus utilisées sur Docker Hub et a trouvé en moyenne 604 vulnérabilités connues par image. Plus de 40 % d’entre elles sont classées comme critiques ou élevées. Chaque image contient en moyenne 389 composants logiciels, et pour un composant sur huit, il manque totalement un manifeste logiciel (Help Net Security, 2024).

Plus de 45 % des vulnérabilités découvertes ont entre deux et dix ans. Cela signifie que des failles de sécurité connues et corrigées depuis longtemps sont réintroduites dans de nouveaux déploiements par le biais d’images de base obsolètes. Synopsys confirme ce schéma : 91 % des bases de code commerciales auditées contiennent des composants qui sont au moins dix versions en retard (OSSRA Report, 2024).

Les vecteurs d’attaque : paquets malveillants dans les dépôts publics

Sonatype a identifié jusqu’en août 2024 un total de 704.102 paquets malveillants dans des dépôts publics tels que npm, PyPI et Maven Central. La croissance par rapport à l’année précédente : 156 pour cent. En 2024, plus de 400.000 nouveaux paquets malveillants ont été découverts. Avec 6.600 milliards de téléchargements Open Source attendus d’ici fin 2024, la surface d’attaque croît plus vite que la capacité de défense (Sonatype, 10ᵉ rapport State of the Software Supply Chain).

La conséquence pour l’IT logistique : chaque logiciel de gestion d’entrepôt, chaque système de gestion des transports et chaque plateforme IoT de suivi de flotte repose sur des composants Open Source. Celui qui ne connaît pas la provenance de ces composants a un angle mort dans sa propre architecture de sécurité.

Gartner avait prédit en 2022 que d’ici 2025, 45 pour cent de toutes les organisations subiraient des attaques sur la chaîne d’approvisionnement logicielle. La réalité a dépassé les prévisions : les données de BlackBerry montrent qu’en 2024, ce chiffre atteint déjà 75 pour cent.Gartner Security Trends 2022 vs. BlackBerry Survey 2024

SBOM : la nomenclature des logiciels

Une Software Bill of Materials répertorie tous les composants d’une application, y compris les versions, les licences et les vulnérabilités connues. Ce qui est une évidence dans la chaîne d’approvisionnement physique (chaque logisticien connaît le contenu de ses conteneurs) fait souvent défaut dans la chaîne d’approvisionnement logicielle.

Le marché des SBOM croît en conséquence : d’environ 1,2 milliard de dollars américains en 2024 à 6,2 milliards prévus d’ici 2033, avec un taux de croissance annuel de 21,5 pour cent (Anchore, 2025). Les grandes entreprises représentent 58 pour cent des utilisateurs. Des outils comme Trivy (Open Source, d’Aqua Security), Snyk Container et Sysdig génèrent automatiquement des SBOM dans le cadre du pipeline CI/CD.

CRA et NIS2 : la régulation arrive

Le Cyber Resilience Act de l’UE (règlement 2024/2847) est en vigueur depuis décembre 2024 et concerne tous les produits comportant des éléments numériques vendus dans l’UE. À partir du 11 septembre 2026, les vulnérabilités activement exploitées devront être signalées. À partir du 11 décembre 2027, une SBOM lisible par machine deviendra obligatoire. Le format n’est pas imposé, mais des standards comme SPDX et CycloneDX sont considérés comme acceptés. Les infractions coûteront jusqu’à 15 millions d’euros ou 2,5 pour cent du chiffre d’affaires annuel mondial (EU Digital Strategy).

NIS2 touche encore plus directement la logistique. Transport, entreposage, expédition et services de messagerie font partie des secteurs concernés. Les entreprises comptant plus de 50 employés ou réalisant plus de 10 millions d’euros de chiffre d’affaires sont soumises à cette directive. Les exigences de l’article 21 incluent expressément l’évaluation et la sécurisation de tous les fournisseurs ICT et sous-traitants. Les incidents doivent être signalés dans les 24 heures, évalués dans les 72 heures et rapportés définitivement dans un délai d’un mois. La responsabilité personnelle de la direction en cas de négligence accentue encore la pression (nFlo, Dataguard).

Sécurité des conteneurs en pratique

Le marché de la sécurité des conteneurs représentait 2,87 milliards de dollars américains en 2024 et devrait atteindre 14,09 milliards d’ici 2032 (MarketsandMarkets). Les outils sont matures : Trivy analyse les images de conteneurs, les fichiers Infrastructure-as-Code et les SBOM en quelques secondes. Sysdig utilise eBPF pour une détection en temps réel directement dans le cluster Kubernetes. Snyk Container s’intègre dans l’IDE et crée automatiquement des pull requests de correction.

Pour les équipes IT logistiques, la recommandation pratique est la suivante : mettre régulièrement à jour les images de base (les 45 pour cent de vulnérabilités connues depuis des années sont évitables), intégrer la génération de SBOM dans le pipeline CI/CD et imposer un scanning des registries avant chaque déploiement. Ceux qui sont soumis à NIS2 doivent de toute façon documenter ces mesures.

Conclusion

La chaîne d’approvisionnement logicielle est aujourd’hui la surface d’attaque la plus critique pour les entreprises de logistique. 604 vulnérabilités par image de conteneur, 704.000 paquets malveillants dans les dépôts publics et un environnement réglementaire qui impose la transparence. SBOM, scanning des conteneurs et sécurité de la chaîne d’approvisionnement ne sont pas des projets d’innovation. Ce sont des exigences de conformité avec une échéance – à l’instar des risques de verrouillage fournisseur chez VMware.

Questions fréquentes

Qu’est-ce qu’une Software Bill of Materials (SBOM) ?

Une SBOM est une liste lisible par machine de tous les composants logiciels d’une application, incluant les versions, les licences et les vulnérabilités connues. Elle rend la composition des logiciels transparente, à l’image d’une liste d’ingrédients pour les produits alimentaires. Le Cyber Resilience Act de l’UE rendra les SBOM obligatoires pour tous les produits numériques à partir de décembre 2027.

La directive NIS2 concerne-t-elle aussi les entreprises logistiques de taille moyenne ?

Oui, si elles emploient plus de 50 salariés ou réalisent un chiffre d’affaires supérieur à 10 millions d’euros. Les secteurs du transport, du stockage, de la logistique et des services de messagerie sont explicitement visés. Les exigences incluent notamment la sécurisation de tous les fournisseurs ICT et une obligation de signalement sous 24 heures.

Quelle est la différence entre le CRA et la NIS2 en matière de sécurité logicielle ?

Le CRA régit la sécurité des produits intégrant des éléments numériques (logiciels et matériel) et s’adresse aux fabricants. La NIS2 encadre la cybersécurité des organisations dans les secteurs critiques et vise les exploitants. Pour les entreprises logistiques, cela signifie que le CRA concerne les logiciels utilisés, tandis que la NIS2 s’applique à l’organisation elle-même. Les deux textes imposent une transparence sur la chaîne d’approvisionnement logicielle.

Comment détecter les vulnérabilités dans mes images de conteneurs ?

Des outils open source comme Trivy (Aqua Security) analysent les images de conteneurs en quelques secondes et fournissent une liste détaillée de toutes les vulnérabilités avec leurs scores CVSS. Les plateformes commerciales telles que Snyk, Sysdig et Aqua Security proposent en outre des correctifs automatiques, l’application de politiques de sécurité et l’intégration dans les pipelines CI/CD.

À quelle fréquence faut-il mettre à jour les images de base ?

Au minimum une fois par mois, et immédiatement en cas de vulnérabilités critiques. L’étude NetRise révèle que plus de 45 % des vulnérabilités présentes dans les images de conteneurs ont entre deux et dix ans. Les pipelines de reconstruction automatisée, qui régénèrent régulièrement les images de base, éliminent largement ce risque.

Pour aller plus loin

• Sécurité de la chaîne d’approvisionnement des conteneurs : Docker et SBOM – cloudmagazin
• NIS2 et chaîne d’approvisionnement SaaS : une faille de conformité – cloudmagazin

Plus d’articles du réseau MBF Media

• GlassWorm : plus de 400 outils de développement compromis – SecurityToday
• CSRD et durabilité au conseil d’administration – Digital Chiefs
• Cyber Resilience Act : ce que les fabricants doivent faire – MyBusinessFuture

Source de l’image d’en-tête : Pexels / Markus Spiske (px:2061168)