Avec l’utilisation croissante de logiciels et composants logiciels open source, les contributions aux sources multiples, l’accélération du rythme de publication du code, les pipelines d’intégration et de livraison continues (CI/CD), le développement logiciel moderne est devenu plus rapide et plus complexe.

Les attaques récentes sur l’intégrité de la chaîne de production logicielle (Log4shell, SolarWinds) ont mené à une prise de conscience globale des risques associés. L’environnement réglementaire et contractuel évolue rapidement vers une obligation pour les éditeurs de logiciels d’adopter de meilleures pratiques de gestion sécurisée de la chaîne d’approvisionnement, en particulier vis-à-vis de leurs dépendances sur les codes Open Source (voir le European Cyber Resilience Act).

Au programme :
9h30-9h40: Mot de bienvenue et introduction
  • François Stephan, Directeur général / Dean ECE Ecole d’ingénieurs
  • Olivier Bettan, Head of Cyber Security R&D Lab – Thales
9h40-10h30 : [Keynote Thales] “ Demystifying software supply chain security – Old wine in a new bottle”
  • Viswanath S Chirravuri, Software Security Community Director – Thales Digital Identity and Security
    The software supply chain is a complex ecosystem which presents various security risks, as each component can be a potential target for attackers to compromise the confidentiality, integrity, and availability of software products.
    In this presentation, we will explore the key focus areas and best practices for securing the software supply chain. We will cover topics such as threat modeling, vulnerability management, source code review, dependency management, and security of the continuous integration and delivery (CI/CD) pipelines. We will also discuss emerging technologies and standards, such as supply chain of artificial intelligence and machine learning, SLSA, and the Software Bill of Materials (SBOM) that aim to enhance transparency, traceability, and accountability in the software supply chain.
    By the end of this presentation, you will have a deeper understanding of the software supply chain security landscape and the practical steps you can take to mitigate the risks and ensure the trustworthiness of your software products.
10h30-11h00 : [REX SNCF] La supply chain de conteneurisation sur les rails 
  • Thomas Comtet, Responsable de la plateform Team Conteneurisation – e.SNCF solutions
  • Julien Guyaud, Product owner des offres de conteneurisation – e.SNCF solutions
    La faille log4j fin 2021 a secoué tout le monde de l’IT et, comme beaucoup, nous nous sommes rendus compte que l’on “pensait” maîtriser nos chaînes de distribution de conteneurs.
    Il n’existe pas vraiment de recette miracle pour manager la supply chain de conteneurisation :
    quelles images de base utiliser, construire des chaines de CI/CD cohérentes, stocker les images Docker, déployer des conteneurs, identifier les failles de sécurité, savoir ce qui est déployé, identifier l’état sanitaire des conteneurs, indiquer comment patcher des conteneurs, s’assurer que les remédiations sont bien effectuées. 
    Ce REX a pour but de montrer ce que l’on a mis en place en marche forcée en terme de CI/CD et d’analyse sécurité quand on a un parc de 20 000 conteneurs actifs. 
11h30-12h00 : [REX CS GROUP] Industrialisation du maintien en condition de sécurité d’un système d’exploitation 
  • Thomas Andrejak, Directeur Technique de la BU Défense, créateur de SEDUCS – CS GROUP
    CS GROUP a développé la solution SEDUCS, un système d’exploitation (OS) durci basé sur un cœur open-source. L’un des objectifs de SEDUCS est la maîtrise complète de la chaîne d’approvisionnement de l’OS avec la collecte des différents éléments de preuve à chaque étape. Nous retrouvons parmi ces étapes : la collecte des sources des logiciels, la construction de l’environnement de construction de l’OS ainsi que la construction des logiciels finaux. Ces étapes permettent d’avoir un fort niveau de confiance dans les éléments qui sont installés dans l’OS, ainsi que les preuves associées. Il en résulte également une parfaite maitrise de la chaine d’approvisionnement lors des activités de Maintien en Conditions de Sécurité (MCS) de l’OS.
12h00-12h30 : [REX Eclipse Foundation] Construire le binaire Java le plus sécurisé au monde
  • Mikaël Barbero, Head of Security, Eclipse Foundation
    Récemment, la fondation Eclipse a lancé une initiative visant à soutenir ses 420+ projets dans l’amélioration de la sécurité de leur chaîne d’approvisionnement. Les outils et pratiques mis en place, notamment ceux de l’OpenSSF (Scorecard, SLSA, …), seront présentés. Nous examinerons ensuite de manière plus approfondie Adoptium et sa distribution Eclipse Temurin de Java pour comprendre comment le projet sécurise sa chaîne d’approvisionnement.
12:30-14h: cocktail déjeunatoire
14h00-14h30 : [Recommandations DGA] Menaces sur la chaîne de production logicielle
  • Christophe Cleraux, Chef de département eXpertise Evaluation de Logiciel (XEL)
    Les logiciels occupent une partie prépondérante dans les matériels équipant les forces armées. Comme dans le monde civil, ces logiciels deviennent plus complexes à développer et intègrent de plus en plus de dépendances. Cette complexité se retrouve dans la façon de développer les logiciels, ainsi que dans l’intégration de ces produits tiers dans le produit final. Dans ce contexte, DGA MI s’intéresse aux méthodes permettant de garantir l’innocuité des logiciels embarqués au sein des forces.
14h30-15h00 : [REX La Poste Groupe] Apps, enfilez votre armure ! 
  • Carmen Piciorus, Concepteur de développement – La Poste Groupe
    Pour faire face aux menaces cyber qui se diversifient et se multiplient, mais aussi à la diversification des sources de code et des moyens de coder,  La Poste doit mettre en place des vérifications de sécurité automatisées et détecter toute faille de sécurité applicative rapidement. Docker joue un rôle clé dans l’intégration rapide des vérifications de sécurité des applications. Je vais vous parler des différents types de vérifications de sécurité et de leur implémentation rapide dans les pipelines CI avec Docker : détection des secrets dans le code source, détection des vulnérabilités dans les dépendances, scan SonarQube,  scan des images applicatives et patch management, SAST, DAST). Enfin, détecter c’est bien, mais il faut aussi corriger : nous accompagnons le développeur et son security champion dans la correction des vulnérabilités à l’aide d’un datalake sécurité.
15h30-16h00: [Outils académiques] Building a safe(r) open source supply chain on top of the Software Heritage rock
  • Stefano Zacchiroli, full professor of computer science, Télécom Paris, Polytechnic Institute of Paris
    Securing the software supply chain, in particular when it comes to its free/open source software (FOSS) components, is all the rage now. Industry consortia, applied researchers, and practitioners alike are trying out a variety of approaches looking for the ones that will stick. In this talk we will look at the Software Heritage initiative, which is a key building block for a safe(r) FOSS supply chain.
16h00-16h30: [Outils académiques] Voyage au cœur des attaques contre la supply chain des logiciels libres
  • Olivier Barais, Professeur des Universités, Université de Rennes, Responsable équipe Projet IRISA/INRIA DiverSE
    Au cours de cette présentation, je présenterai un travail mené par SaP Research en collaboration avec l’équipe INRIA DiverSE et l’Université de Valenciennes. Ce travail s’intéresse aux vecteurs d’attaques contre la supply chain des logiciels libres et propose une taxonomie décrivant la manière dont les attaquants les mènent. Associé à cette taxonomie, nous fournissons aussi une liste de mesures de protection pour atténuer ces attaques. Pendant cette présentation, je présenterai l’outil “Risk Explorer for Software Supply Chains” (https://sap.github.io/risk-explorer-for-software-supply-chains/) développé dans le cadre de cette étude afin d’explorer ces informations et nous discuterons de ses cas d’utilisation industriels et des discussions en cours pour un transfert vers la fondation openssf (https://openssf.org/). 
16h30 : Conclusion, échange ouvert et pot de clôture