Third Party Risk Management : Tout savoir sur les attaques ciblant les tiers (supply chain)
Attaques sur la chaîne d’approvisionnement, attaques de tiers, attaques de la chaîne de valeur, violation de porte dérobée… Toutes ces expressions font référence aux attaques ciblant la supply chain. En effet, plutôt que d’attaquer directement le système d’information de leur cible finale, certains attaquants cherchent à compromettre des éléments intermédiaires de la chaîne de valeur : souvent des acteurs plus petits, parfois moins équipés en matière de cybersécurité, pour accéder au système d’information de leur cible principale.
La notion de « supply chain » revêt ici une importance cruciale, car elle désigne l’interconnexion complexe d’organisations partenaires et tierces qui participent via des liens commerciaux à l’activité d’une organisation principale. Sous-traitants, filiales, fournisseurs… Cela couvre un éventail varié d’acteurs impliqués dans le processus opérationnel d’une entreprise. Chaque maillon de cette chaîne représente potentiellement une vulnérabilité que des cybercriminels peuvent exploiter pour atteindre leur objectif.
L’importance croissante de la supply chain dans le fonctionnement des entreprises modernes a entraîné une attention particulière des cyberattaquants sur ces cibles. Les entreprises collaborent de plus en plus étroitement avec des partenaires externes pour optimiser leurs opérations, réduire les coûts et améliorer l’efficacité. Cependant, cette collaboration accrue s’accompagne d’un risque élevé, car chaque partenaire peut devenir une porte d’entrée potentielle pour des cyberattaques.
Pour faire face à ces menaces, la quantification du risque cyber devient une étape essentielle dans la gestion de la cybersécurité de la supply chain. Quantifier le risque cyber signifie évaluer de manière systématique les vulnérabilités et les menaces pesant sur chaque composant de la chaîne d’approvisionnement. Cette évaluation permet de mesurer l’impact potentiel des cyberattaques et de prioriser les efforts de sécurité en fonction des niveaux de risque identifiés.
En outre, on observe une sophistication croissante des cyberattaques, ce qui se traduit par le fait que les attaquants utilisent des techniques avancées pour dissimuler leurs activités, rendant les détections plus difficiles et augmentant les délais de réponse. Par conséquent, les entreprises doivent non seulement protéger leurs propres systèmes, mais aussi s’assurer que leurs partenaires et fournisseurs appliquent des mesures de sécurité rigoureuses. La quantification du risque permet de mettre en place des indicateurs de performance clés (KPI) et des mesures de contrôle appropriées pour surveiller en permanence l’état de la cybersécurité au sein de la supply chain.
Cet article se propose de faire le point sur les attaques ciblant la supply chain, afin de vous apporter les informations nécessaires pour vous aider à faire des choix éclairés concernant votre cybersécurité. Nous explorerons les types d’attaques les plus courants, les conséquences possibles pour les entreprises et les meilleures pratiques pour renforcer la sécurité de votre chaîne d’approvisionnement. En comprenant les risques et en mettant en œuvre des stratégies de gestion efficaces, incluant la quantification précise des risques, vous pouvez mieux protéger votre organisation contre les menaces croissantes dans le paysage cyber actuel.
Focus sur quelques cyberattaques marquantes
Afin de mieux comprendre le concept d’attaque ciblant la supply chain, nous allons revenir dans cette partie sur quelques attaques marquantes.
2013 : La Violation de Données de Target
En 2013, Target, l’un des plus grands détaillants des États-Unis, a été victime d’une cyberattaque majeure qui s’est déroulée pendant la période de forte activité des fêtes de fin d’année. Entre le 27 novembre et le 15 décembre, les attaquants ont utilisé des identifiants volés à un sous-traitant, Fazio Mechanical Services, pour déployer un logiciel malveillant sur le système de gestion des paiements de Target. Cette faille a permis le vol des informations bancaires et des données personnelles de plus de 110 millions de clients (soit l’équivalent d’un tiers de la population américaine), avec un total de 11 Go de données transférées d’un serveur aux États-Unis vers un autre en Russie.
Cet incident a marqué un tournant dans la manière dont les entreprises perçoivent et gèrent la cybersécurité. La cyberattaque de Target a souligné l’importance d’une approche intégrée de la cybersécurité, prenant en compte les vulnérabilités au sein de la chaîne d’approvisionnement et les interactions complexes avec les partenaires commerciaux. Cette attaque a également mis en lumière la nécessité de quantifier le risque cyber et de se préparer à des menaces évolutives dans un environnement de plus en plus interconnecté.
2020 : L’Impact Durable de l’Attaque SolarWinds sur la Sécurité des Chaînes d’Approvisionnement
En décembre 2020, la cybersécurité mondiale a été profondément impactée par l’attaque sophistiquée contre SolarWinds, une entreprise américaine spécialisée dans la gestion des réseaux et des systèmes informatiques. Les attaquants ont infiltré le processus de développement des logiciels de SolarWinds, déployant un logiciel malveillant connu sous le nom de « SUNBURST » dans les mises à jour du logiciel Orion, utilisé par des milliers d’organisations à travers le monde. Cette faille a permis aux cybercriminels de créer des portes dérobées dans les réseaux des victimes, affectant environ 18 000 clients, y compris des agences gouvernementales américaines comme le Département du Trésor et des entreprises de premier plan. L’attaque a démontré la vulnérabilité des chaînes d’approvisionnement logicielles et la capacité des attaquants à rester discrets pendant plusieurs mois, exacerbant ainsi les dégâts.
L’incident a mis en lumière des lacunes majeures dans la cyberdéfense des organisations et a conduit à une réévaluation des stratégies de cybersécurité, notamment en ce qui concerne les fournisseurs tiers. Les experts ont suspecté une implication étatique, en particulier de la Russie, bien que cette attribution soit encore débattue. En réponse, SolarWinds et ses clients ont engagé des efforts importants pour renforcer la sécurité des systèmes, y compris des audits de sécurité plus rigoureux et une meilleure coopération entre le secteur privé et les agences gouvernementales pour le partage des informations sur les menaces.
2021 : L’Incident Kaseya et la Vulnérabilité des Fournisseurs Tiers
En juillet 2021, le groupe cybercriminel REvil a mené une attaque par ransomware contre Kaseya, une entreprise spécialisée dans les solutions de gestion informatique. En exploitant une vulnérabilité critique dans le logiciel VSA de Kaseya, utilisé par des prestataires de services informatiques pour gérer les systèmes de leurs clients, les attaquants ont pu déployer le rançongiciel REvil à travers le réseau de l’entreprise. Ce logiciel a été introduit via une mise à jour compromise, permettant ainsi aux cybercriminels de chiffrer les données et d’interrompre les opérations de près de 1 500 entreprises à travers le monde, touchant des secteurs variés tels que la finance, la santé et le secteur public.
Cette attaque a révélé des vulnérabilités systémiques dans la gestion de la cybersécurité des fournisseurs de services informatiques et a souligné les risques associés à la dépendance des entreprises vis-à-vis de logiciels tiers. L’incident a mis en lumière la manière dont une faille dans un logiciel de gestion peut entraîner des conséquences en cascade sur de nombreuses organisations, provoquant des interruptions de service, des pertes de données et des frais de récupération. En réponse, l’industrie a renforcé ses pratiques de cybersécurité en augmentant les audits de sécurité des fournisseurs, en durcissant les contrôles d’accès, et en investissant dans des solutions de détection des intrusions plus robustes, afin de mieux sécuriser les chaînes d’approvisionnement informatiques.
Quelles cyberattaques sont le plus susceptibles de cibler la supply chain ?
Il n’existe pas un modèle de cyberattaque unique pour cibler la chaîne de valeur, d’autant plus que les attaquants rivalisent d’imagination pour compromettre leurs cibles. Ces attaques ne sont pas uniquement réservées à la supply chain et on peut les retrouver dans d’autres contextes. Dans cette partie, nous allons évoquer les principales menaces susceptibles d’affecter la supply chain.
1. Attaques par Logiciels Malveillants
Les attaques par logiciels malveillants représentent l’une des menaces les plus courantes et destructrices pour la supply chain. Les cybercriminels utilisent ces logiciels pour infiltrer les systèmes informatiques des fournisseurs ou des partenaires commerciaux. Une fois à l’intérieur, ils peuvent exfiltrer des données sensibles, perturber les opérations ou créer des portes dérobées pour des attaques futures. Par exemple, les rançongiciels, une catégorie spécifique de logiciel malveillant, chiffrent les données critiques et exigent une rançon pour leur déchiffrement, perturbant ainsi gravement les opérations commerciales. Les entreprises doivent être particulièrement vigilantes en matière de détection et de prévention des logiciels malveillants pour sécuriser leur supply chain.
2. Attaques de Phishing et Ingénierie Sociale
Les attaques de phishing et d’ingénierie sociale exploitent la confiance et la naïveté des employés des entreprises partenaires dans la supply chain. Les cybercriminels envoient des emails ou des messages frauduleux conçus pour inciter les destinataires à divulguer des informations sensibles, telles que des identifiants de connexion, ou à télécharger des fichiers malveillants. Ces attaques peuvent permettre aux attaquants de prendre le contrôle des comptes utilisateurs, d’accéder à des réseaux internes ou de lancer d’autres types d’attaques plus sophistiquées. En ciblant les employés de partenaires moins protégés, les attaquants peuvent facilement s’introduire dans le système de la cible finale.
3. Compromission des Mises à Jour Logicielles
La compromission des mises à jour logicielles est une méthode d’attaque sophistiquée où les cybercriminels infiltrent les processus de développement ou de distribution des mises à jour logicielles des fournisseurs. Ces attaques permettent aux attaquants d’introduire des logiciels malveillants directement dans les systèmes des entreprises clientes lors de la mise à jour. L’attaque de SolarWinds est un exemple frappant de cette tactique, où une mise à jour compromise a permis aux attaquants d’infiltrer les réseaux de multiples organisations importantes. Ce type d’attaque est particulièrement dangereux car il exploite la confiance accordée aux fournisseurs de logiciels et peut rester indétecté pendant de longues périodes.
4. Exploitation des Vulnérabilités des Fournisseurs
Les cybercriminels exploitent souvent les vulnérabilités connues ou inconnues (zero-day) dans les systèmes, les applications ou les infrastructures des fournisseurs de la supply chain. Ces failles peuvent être des défauts dans le code logiciel, des configurations incorrectes ou des lacunes dans les mesures de sécurité. En ciblant ces vulnérabilités, les attaquants peuvent accéder aux réseaux des fournisseurs et, par extension, aux réseaux de leurs partenaires commerciaux. Une fois à l’intérieur, ils peuvent voler des informations sensibles, installer des logiciels malveillants ou perturber les opérations. La gestion proactive des vulnérabilités et la mise en place de correctifs réguliers sont essentielles pour réduire ce type de risque.
La cybersécurité est un sport collectif
Pour gérer efficacement leur risque cyber, les entreprises doivent impérativement prendre en compte les vulnérabilités de leurs tiers. L’interconnexion croissante des systèmes fait de la cybersécurité une responsabilité collective. Il est donc essentiel de développer une stratégie de cybersécurité qui intègre les tiers pour mieux maîtriser la surface d’exposition au risque cyber. Voici quelques pistes de réflexion pour intégrer cette approche dans votre organisation.
Beaucoup d’entreprises le font déjà mais il est important de rappeler qu’il est crucial d’intégrer des clauses de cybersécurité dans les contrats négociés avec les fournisseurs et les sous-traitants. Ces clauses peuvent inclure l’obligation pour les partenaires de subir des audits de sécurité afin d’identifier et de corriger leurs vulnérabilités. Cela permet de s’assurer que les accès accordés à des tiers ne compromettent pas la sécurité de votre propre système d’information. Cependant, il est important de noter que certains partenaires peuvent être réticents à fournir des informations sensibles ou incapables de se conformer aux exigences de sécurité demandées, ce qui pourrait compliquer la mise en œuvre de cette stratégie.
Ensuite, la cybersécurité requiert des moyens financiers que toutes les entreprises, notamment les PME, ne peuvent pas toujours assumer. Pour maîtriser le risque cyber, il est pertinent d’aider les entreprises avec lesquelles vous collaborez à améliorer leur maturité défensive. Cela peut se faire en fournissant temporairement des outils de cybersécurité, des formations, ou en réalisant des audits de sécurité. Cette démarche est particulièrement pertinente pour les filiales, où l’intensité des liens avec la société-mère exige un niveau de cybersécurité élevé pour protéger l’ensemble du réseau.
Le choix d’une solution de quantification du risque cyber est essentiel pour une gestion efficace du risque fournisseur. En utilisant une plateforme de quantification du risque, telle que celle proposée par Citalid, les entreprises peuvent obtenir des indicateurs fiables pour estimer leur exposition au risque cyber en tenant compte de l’écosystème global dans lequel elles évoluent. Ces solutions permettent de traiter des données variées pour offrir une vue précise des risques, facilitant ainsi des décisions éclairées en matière de cybersécurité. En prenant en compte à la fois les facteurs internes et externes, les entreprises peuvent mieux anticiper et gérer les menaces potentielles, renforçant ainsi leur résilience face aux cyberattaques.
Enfin, bien que les entreprises aient encore du mal à intégrer pleinement leurs interconnexions dans leur stratégie de cybersécurité, des évolutions sont à prévoir grâce aux avancées législatives de l’Union Européenne. Le règlement DORA et la directive NIS2, par exemple, imposent des mesures de sécurité spécifiques pour les tiers en lien avec des organisations de certains secteurs critiques. Ces législations renforcent l’importance de la cybersécurité dans les relations commerciales et encouragent les entreprises à adopter des pratiques de quantification du risque pour se conformer aux nouvelles exigences et mieux protéger leurs chaînes d’approvisionnement.
En somme, choisir une solution de quantification du risque cyber représente un investissement stratégique qui permet aux entreprises de mieux comprendre et gérer les risques complexes de leur supply chain, tout en se préparant aux défis futurs posés par l’évolution rapide des menaces cyber.
Et si vous testiez la quantification du risque cyber pour votre entreprise ? Rejoignez la prochaine séance de live demo ici pour poser toutes vos questions à un expert et découvrir la plateforme Citalid en action !