Sécuriser la chaîne d'approvisionnement en semi-conducteurs à l'aide du cloud
Conversation avec Deirdre Hanford, responsable de la sécurité chez Synopsys
Podcast | 16 juillet 2021
52 % des fabricants ont constaté une « hausse significative » des fraudes informatiques durant la pandémie. Les deux attaques les plus courantes sont le rançongiciel et la fraude au paiement électronique, d'après un rapport de l'Association of Certified Fraud Examiners. Deirdre Hanford, responsable de la sécurité chez Synopsys, leader dans l'Electronic Design Automation (EDA), de la propriété intellectuelle des semi-conducteurs et des outils et services de test de la sécurité des applications, ainsi que David Pellerin, responsable du développement commercial mondial des semi-conducteurs chez AWS, se sont réunis avec l'équipe AWS Industrial Insights pour discuter des défis de sécurité rencontrés dans les chaînes d'approvisionnement actuelles. En partant du point de vue du secteur des semi-conducteurs, ils expliquent comment renforcer la sécurité dans la chaîne d'approvisionnement en inspectant l'exposition aux risques, en surveillant les utilisateurs qui accèdent au réseau et en tirant parti du cloud.
Les chaînes d'approvisionnement en semi-conducteurs sont soumises à de fortes pressions
AWS : Deirdre, quels sont, selon vous, les plus grands défis actuels de la chaîne d'approvisionnement en semi-conducteurs ?
Deirdre Handford : Trois choses : la confidentialité, l'intégrité et la disponibilité. Ce triplet traduit le fait de garantir que seules les personnes autorisées à consulter certaines données de conception ou de fabrication de semi-conducteurs y ont accès, évitant ainsi que ces données ne soient compromises tout en garantissant leur accessibilité.
Malheureusement, la pandémie de COVID avait disrupté les chaînes d'approvisionnement mondiales, y compris dans le domaine microélectronique. Dans le même temps, nous avions observé une énorme hausse de la demande de la part d'individus qui avaient besoin de plus d'appareils pendant leur passage au travail et à l'apprentissage à domicile, ou de ceux qui décident de mettre à niveau leur domicile grâce à des systèmes électroniques. Le même constat avait été fait pour les entreprises qui avaient profité de cette période pour accélérer leur transformation numérique. Par exemple, de nombreuses entreprises ont installé leur équipement d'automatisation industrielle dans les ateliers de fabrication, ont accéléré leur passage au cloud et ont tiré parti de l'analytique du Big Data. Tout cela a entraîné une envolée de la microélectronique. Il s'agit-là de la partie demande.
Les trois facteurs essentiels de l'état des données d'une chaîne d'approvisionnement.
- Confidentialité : Seules les personnes autorisées à consulter certaines données de conception ou de fabrication peuvent
- Intégrité : Les données ne sont pas compromises
- Disponibilité : Les personnes autorisées à y accéder
Si nous nous attardons maintenant sur la partie approvisionnement de ce problème de disponibilité, il n'y qu'une quantité finie de capacité de fabrication de systèmes microélectroniques dans le monde. Par ailleurs, ces fonderies, c'est-à-dire les centrales de fabrication de semi-conducteurs, sont réservées actuellement à des capacités à plus de 100 %. D'ailleurs, cela a été plus tard accentué par des incendies dans certaines centrales de fabrication du Japon et des grandes tempêtes hivernales au Texas. La disponibilité des semi-conducteurs est donc actuellement un problème important. La demande est élevée et l'approvisionnement y est fondamentalement limité.
AWS : Dave, vous êtes en contact avec des clients de semi-conducteurs dans le monde entier. Observez-vous également ces tendances ?
David Pellerin : Bien sûr, les défis liés à l'approvisionnement en semi-conducteurs affectent presque tout le monde. Le secteur automobile est particulièrement en difficulté en ce moment. En effet, les véhicules sont devenus des centres de données évolutifs, les véhicules autonomes de future génération en particulier. Ainsi, tout dysfonctionnement dans la chaîne pour le contrôle des émissions, les coussins de sécurité ou l'infodivertissement par exemple, peuvent perturber la production. Nous constatons que des clients tentent de comprendre comment mieux prédire les risques liés à la chaîne d'approvisionnement ou aux rendements des semi-conducteurs, afin d'améliorer l'approvisionnement de puces, la traçabilité et la prévisibilité de la chaîne d'approvisionnement.
Nous voyons également des clients qui tentent de basculer plus rapidement. Si vous créez un modèle de future génération pour le secteur automobile, comment vous y prenez-vous pour le commercialiser de façon nettement plus rapide ? Comment vous assurez-vous de vous rapprocher de l'objectif « zéro défaut » pour les besoins de ces clients importants du secteur automobile ? L'utilisation du cloud pour la vérification est donc une nouvelle façon de penser.
Deirdre Handford : J'ai lu quelque part que le stockage juste-à-temps connaît beaucoup de succès dans de nombreux secteurs. Cela est constaté dans le secteur du matériel PC depuis un moment déjà. Pendant longtemps, le secteur automobile a tiré sa fierté du stockage juste-à-temps, et la gestion des stocks est désormais repensée dans l'ensemble du secteur. Ainsi, les défis liés à l'approvisionnement en semi-conducteurs ont affecté de nombreuses entreprises.
David Pellerin : Une telle chaîne d'approvisionnement longue et complexe amène à gérer des sources multiples avec soin afin de déterminer où et quand vous devriez avoir des stocks excédentaires. Lorsque les indicateurs de demande et la chaîne d'approvisionnement sont disruptés simultanément, certaines organisations se mettront à acheter en quantités excessives et d'autres, en quantités insuffisantes. De ce fait, tout l'équilibre des stocks est déréglé.
Deirdre Handford : Même si la plupart des fonderies ont annoncé qu'elles se dotent d'une nouvelle capacité de fabrication, cela prend du temps, au moins une année ou plus, pour élaborer une nouvelle capacité de fabrication. Il n'existe donc pas de correctifs immédiats.
Lorsque les cybercriminels s'en mêlent
AWS : Tous ces acteurs font qu'il y a sans doute de nombreux autres points d'entrée pour des cybercriminels.
Deirdre Handford : En effet, le secteur microélectronique est extrêmement désagrégé. Cela veut dire que dans la chaîne d'approvisionnement, plusieurs parties contribuent, plusieurs mains touchent au projet au fur et à mesure qu'il avance dans le processus de conception, le processus de fabrication, le conditionnement pour être finalement lancé sur le terrain.
La sécurité est un voyage vers l'inconnu pour tout le monde. Vous n'êtes pas toujours là et elle est toujours perfectible. Vous devez donc toujours chercher des façons d'améliorer votre sécurité. »
- Deirdre Handford
La confidentialité du projet doit être pensée, puisqu'il passe par de nombreuses parties, de même que l'intégrité de celui-ci. Cela représente un défi pour nous en tant que secteur. Une fonderie avait récemment connu une utilisation hors limites de sa sécurité, suite à la mise à niveau d'un logiciel qui avait libéré un programme malveillant. La confidentialité de l'ensemble de l'environnement avait été compromise. En outre, les énormes défis d'approvisionnement actuels font que les cybercriminels peuvent reconditionner les vieux composants, y apposer une nouvelle étiquette et vendre les appareils contrefaits, menaçant ainsi l'intégrité des fabricants qui incorporent ces composants. Lorsqu'un cybercriminel introduit un cheval de Troie dans un appareil soit pour l'affaiblir par la suite, soit pour offrir une voie d'accès clandestine à un cybercriminel une fois le composant déployé, cela constitue un autre problème de sécurité.
David Pellerin : Chez Amazon, nous avons des équipes de développement de puces, des puces fabriquées dans les fonderies partenaires, des fournisseurs de propriété intellectuelle et nous utilisons le logiciel Synopsys. Nous le vivons chez Amazon au quotidien au sein d'équipes comme Annapurna Labs, qui conçoivent des puces de centres de données. Par ailleurs, nous nous évertuons à rendre notre collaboration plus sécurisée. Par exemple, si nous avons développé un système sur une puce ou que nous avons travaillé sur le système d'une puce, nous devrons nous procurer des blocs ou des noyaux de propriété intellectuelle auprès de tiers comme ARM ou même Synopsys. Il est donc très important de disposer d'un moyen sécurisé permettant de collaborer sur la base de cette propriété intellectuelle pour le personnaliser, le valider et le vérifier.
La collaboration est essentielle pour résoudre des problèmes complexes.
AWS : La technologie peut-elle jouer un plus grand rôle dans la sécurisation de la chaîne d'approvisionnement ?
David Pellerin : Oui ! La première étape consiste à créer un environnement où vous pouvez séparer les données, afin de collaborer en sécurité de façon directe et indirecte à l'aide d'une chambre basée sur le cloud. Une manière d'envisager ce type de collaboration consiste à analyser les problèmes de fabrication. Peut-être avez-vous un partenaire d'assemblage ou de test externe. Vous souhaitez extraire certaines données de l'équipement de test et les stocker dans un lac de données partagé, mais soigneusement organisé et protégé, de manière à pouvoir identifier les problèmes de rendement ou plus rapidement des problèmes de conditionnement.
Le cloud peut fournir un environnement très sécurisé pour une collaboration. Le cloud, en tant que plateforme de collaboration, est fait pour perdurer. »
- Deirdre Handford
Nous avons récemment publié une étude de cas conjointement avec Global Unichip, une société de semi-conducteurs basée à Taïwan dotée d'une propriété intellectuelle pour les interfaces. Elle a collaboré avec l'un de nos partenaires, proteanTecs, afin d'améliorer la fiabilité des emballages 2.5D et offrir des façons fiables de réparer ces puces sur le terrain à l'aide des lignes redondantes des interconnexions de puces. Il s'agit d'un exemple de la façon dont un client final - qui collabore avec Global Unichip, un fournisseur de propriété intellectuelle, qui collabore avec une fonderie ou un partenaire d'assemblage et de test externe - peut identifier les problèmes empêchant de créer des puces hautement fiables.
Nous observons ce type de collaborations intéressantes en tous genres. Nous tirons également parti du machine learning pour identifier certains de ces problèmes de fiabilité et de traçabilité de la propriété intellectuelle au moyen d'une analytique avancée sur le cloud. Le cloud est une excellent facilitateur de collaboration, parce qu'il vous permet de créer des environnements hautement sécurisés, associés à une analytique avancée et la possibilité de mettre à l'échelle rapidement.
AWS : Le cloud peut-il donc vous aider à relever les défis de sécurité ?
Deirdre Handford : Le cloud peut fournir un environnement très sécurisé pour cette collaboration. Vous pouvez précisément savoir qui a accès aux données. Vous pouvez comprendre une anomalie soudaine, agir et définir des alertes. Je pense que la pandémie a accéléré cette collaboration, même si AWS a certainement été un pionnier avec son travail en interne. Je pense que le cloud en tant que plateforme de collaboration est là pour rester, et Synopsys offre des solutions de cloud complètes de cloud que les clients peuvent exploiter.
David Pellerin : en fait, notre travail avec Synopsys a contribué à ouvrir la voie. Synopsys n'est pas seulement un fournisseur de logiciels EDA (Electronic Design Automation) ; c'est aussi un fournisseur d'IP utilisé dans diverses puces avancées, y compris celles d'Amazon. Ainsi, notre capacité à collaborer avec des partenaires comme Synopsys et à passer rapidement à des produits à haute fiabilité a été grandement facilitée et accélérée par ces méthodes de collaboration basées sur le cloud.
Avantages de la sécurité et de la mise à l'échelle sur le cloud
AWS : Certes, une collaboration sécurisée semble présenter de nombreux avantages, mais comment s'y prend une entreprise industrielle ?
Deirdre Handford : La principale chose à faire, et la plus importante, est d'envisager l'ensemble des menaces, de tenir compte de l'environnement de travail, d'où peuvent survenir des menaces et où peuvent s'échapper des données, et les hiérarchiser. Vous avez besoin d'un cadre et d'une approche de sécurité complets. Mais je commencerais par songer à la cause d'une menace et à la manière d'atténuer ces menaces.
Cela dit, notre propre environnement présente des défis à relever. Il y a peu, un problème de sécurité s'est posé dans tout le secteur et presque toutes les entreprises gérant un réseau, y compris nous, ont procédé à l'évaluation de leur vulnérabilité dans cette situation. Nous avons appris que, même si nous pouvions rapidement savoir que nous n'étions pas compromis, pour rassurer nos clients au sujet de leur vulnérabilité, nous devions nous en assurer auprès de nos fournisseurs. Nous avons dû comprendre le fonctionnement de notre chaîne d'approvisionnement. En effet, si je me fie à un logiciel tiers dans mon réseau et qu'il s'agisse peut-être d'une application SaaS, alors je dois m'assurer que ce fournisseur n'a pas été compromis parce qu'il peut être amené à gérer des données.
Vous avez besoin d'un cadre et d'une approche de sécurité complets. Mais je commencerais par songer à la cause d'une menace et à la manière d'atténuer ces menaces.
- Deirdre Handford
Donc, une chaîne d'approvisionnement entière influence ma capacité à affirmer que je n'ai pas connu de problème. L'une des choses que nous avons apprise plus tôt cette année était l'importance de comprendre le fournisseur, le partenaire et les locaux du fournisseur, tout en sachant si vos fournisseurs sont résilients et capables de protéger des ressources.
AWS : Comment choisir les bons partenaires dans votre chaîne d'approvisionnement ? Que recherchez-vous lorsque vous les évaluez ?
Deirdre Handford : Un processus interne nous permet à tout moment d'embarquer un nouveau fournisseur et lors de la sélection de fournisseur, nous utilisons des outils tiers pour évaluer le profil de sécurité d'une entreprise. Lorsque nous embarquons un nouveau fournisseur, nous tenons en compte de l'éventualité qu'il manipule les données des employés ou des clients ou qu'il accède à nos réseaux. Les réponses à ces questions déclenchent un processus de vérification pour garantir que le fournisseur peut résister à nos processus et contrôles. Il n'est pas rare que nous fassions passer un audit à un fournisseur, en particulier si nous pensons qu'il aura accès à des données sécurisées.
Le message que je veux passer ici est simple : les organisations de chaîne d'approvisionnement et les entreprises sont devenues plus sophistiquées. Bon nombre d'entreprises, et je suis sûre qu'AWS en fait partie, ont un service de gestion de chaîne d'approvisionnement rigoureux. Elles souhaitent également s'assurer que les fournisseurs améliorent constamment leur processus commercial et de sécurité. La sécurité est un voyage vers l'inconnu pour tout le monde. Vous n'êtes pas toujours là et elle est toujours perfectible. Vous devez donc toujours chercher des façons d'améliorer votre sécurité.
AWS : Dave, comment les entreprises peuvent-elles se servir du cloud comme un environnement sécurisé pour la conception et quel type de cas d'utilisation observez-vous chez vos clients ?
David Pellerin : Au cours des dernières années, nous avons observé un changement important dans la façon de penser au sein des petites et des grandes entreprises de semi-conducteurs mondiales. L'annonce de 2018 faite par TSMC et celle faite par Samsung plus tard au sujet de la mise en œuvre du cloud pour la conception étaient des moments décisifs. Les fonderies qui avaient certaines des propriétés intellectuelles les plus stratégiques du secteur, leurs kits ou leurs PDK de conception de processus, embrassaient ou encourageaient l'utilisation du cloud pour la conception de circuits intégrés (IC) sécurisés. Du point de vue de la sécurité, il s'agissait d'un gros problème. En fait, si une fonderie, une fonderie à part entière, veut augmenter son activité dans le futur, elle aura besoin d'entreprises de semi-conducteurs de toutes les tailles - des start-up intelligentes à celles de taille moyenne, peut-être jusqu'aux entreprises de systèmes qui se lancent dans la conception de puces au fur et à mesure de leur intégration verticale - pour une exploitation sécurisée.
Quoi de mieux que d'embrasser une infrastructure basée sur le cloud plus prévisible et qui peut fournir des niveaux de sécurité personnalisés vraiment très difficiles pour des petites et moyennes entreprises de semi-conducteurs à déployer d'elles-mêmes ? Car, comme l'a dit Deirdre, il s'agit d'un voyage vers l'inconnu. Vous ne pouvez pas simplement sortir et acheter certains pare-feux et infrastructures réseaux, et peut-être certains logiciels classés sécurisés et dire qu'ils sont bons. Vous devez constamment prendre de l'avance sur les différents vecteurs d'attaques et continuellement améliorer votre sécurité.
Cela s'avère d'ailleurs très difficile si vous souhaitez uniquement concevoir des puces de semi-conducteurs. Dans le cloud, vous bénéficiez de la mise à l'échelle et d'un éventail de clients issus de secteurs importants tels que les gouvernements, les services financiers, le secteur de l'énergie, des sciences de la vie, de la santé, etc., qui ont leurs propres exigences de sécurité. Même la plus petite entreprise de semi-conducteurs peut profiter de ce niveau de sécurité ; et je pense que les fonderies l'ont constaté. Nous avons observé un changement significatif dans la manière de penser à l'endroit où la propriété intellectuelle la plus sécurisée peut et doit être situé. De nos jours, cet endroit c'est le cloud. La conception et la vérification de puce dans le cloud deviennent une nécessité pour atteindre des objectifs de mise sur le marché plus rapides ; AWS fournit des solutions de cloud sécurisées en collaboration avec Synopsys.
Partager ce témoignage
Lecture recommandée
À propos de nos invités
Deirdre Handford
Responsable de la sécurité (CSO) chez Synopsys
En tant que responsable de la sécurité chez Synopsys, Deirdre travaille en collaboration pour protéger l'organisation. De plus, elle dirige les efforts visant à sensibiliser le secteur et à le doter d'une conception sécurisée du logiciel au silicium jusqu'à soutenir les entreprises dans l'EDA, la propriété intellectuelle et l'intégrité logicielle. Elle a d'abord travaillé comme directrice adjointe du groupe de conception de Synopsys et responsable de la gestion du développement et du déploiement de la conception physique, de l'implémentation et des lignes de produits analogiques/mixtes. Deirdre est titulaire d'une Licence en Ingénierie électrique (B.S.E.E.) à la Brown University et d'un Master en Ingénierie électrique (M.S.E.E.) à l'Université de Californie à Berkeley. Elle est actuellement à la tête du comité consultatif d'ingénierie de la Brown University et siège au conseil d'administration d'ingénierie pour l'Université de Californie à Berkely
David Pellerin
Responsable du développement commercial mondial des semi-conducteurs chez AWS
David Pellerin travaille comme responsable du développement commercial mondial des technologies de pointe/semi-conducteurs chez Amazon Web Services. Avant de rejoindre AWS, M. Pellerin a fait carrière dans l'automatisation de la conception électronique et l'informatique de matériel reconfigurable accéléré. Il possède une expérience dans la simulation et l'optimisation numérique logique, la synthèse de haut niveau, l'informatique en grille et en cluster, ainsi que les systèmes embarqués pour le traitement de l'image, de la vidéo et du réseau. Il est l'auteur de cinq ouvrages techniques publiés par Prentice Hall.
Passer à l'étape suivante
Écouter et apprendre
Écoutez des dirigeants et des stratèges d'entreprise AWS, tous anciens cadres, parler de leur parcours de transformation numérique.
Rester connecté
AWS Executive Connection est une destination numérique pour les chefs d'entreprise et les leaders technologiques où nous partageons des informations.
Visionner à la demande
Bénéficiez des points de vue de vos pairs et découvrez de nouvelles façons d'alimenter votre parcours de transformation numérique grâce à ce réseau international exclusif.
Trouver de l'inspiration
Écoutez les leaders d'AWS et de ses clients discuter des meilleures pratiques, des leçons et de la pensée transformatrice.