Au cours de l’année 2020, nous nous sommes inquiétés des attaques par ransomware qui ont menacé la disponibilité des données et des infrastructures en perturbant les gouvernements, les écoles et les hôpitaux. Ensuite, nous nous sommes inquiétés de la confidentialité de ces données, les attaquants menaçant de divulguer des informations sensibles à moins de recevoir des millions en crypto-monnaie. Aujourd’hui, nous nous inquiétons de l’intégrité du code et des données. En altérant le code source largement distribué, les cyberattaquants ouvrent une brèche qui peut s’avérer très dangereuse et compromettante.

Un éditeur de logiciels doit protéger l’intégrité de son code source (et de sa distribution) comme un constructeur d’avions protège les schémas de ses moteurs, comme votre médecin protège votre dossier médical, comme votre banque surveille votre solde. Sinon, les avions tombent du ciel, les patients atteints d’une grippe sont soignés pour une entorse et les cybercriminels jouent au loto avec vos économies.

Si nous ne pouvons pas faire confiance aux autres acteurs de notre écosystème (notre chaîne d’approvisionnement), nous perdons le fondement de notre économie.

Maintenant que la crypto-monnaie permet aux attaquants d’être payés anonymement au-delà des frontières, les cybercriminels ont une motivation sans précédent pour apprendre et adopter de nouvelles techniques de fraudes rentables. Les attaques qui ne touchaient quasi exclusivement que les gouvernements il y a seulement quelques années sont désormais monnaie courante. La plupart des outils de piratage les plus puissants du monde ont été divulgués et les groupes à l’origine des ransomwares et des logiciels malveillants tels que Maze, Emotet et Ryuk vont certainement copier le manuel de SolarWinds.

Une règle que nous devons tous avoir en tête : personne n’est à l’abri des cyberattaques. Les attaquants peuvent généralement obtenir ce qu’ils veulent avec suffisamment de temps et de motivation et à ce titre, contrer les systèmes de défense les plus perfectionnés et sécurisés. Le plus souvent, ce sont les données qu’ils ont en ligne de mire.

En 2021, les attaques de SolarWinds et de Kaseya ont eu d’importantes répercussions. Qui ont encore aujourd’hui des conséquences sur le bon fonctionnement des entreprises frappées. Les attaquants en ont tiré les leçons et, en 2022, il y a fort à parier que la supply chain numérique sera fortement perturbée, les attaquants cherchant à causer le plus de dommages possibles. Les cybers attaquants s’appuieront sur le cloud et chercheront à frapper les fournisseurs SaaS les plus populaires.

Alors que les périodes successives de confinement ont obligé les entreprises à accélérer leur transition numérique, à marche forcée, elles sont de plus en plus dépendantes des données et des logiciels, et plus interdépendantes donc pour leur sécurité. A ce titre, de nombreuses organisations peuvent être tentées de prendre des mesures rapides… qui ne seront pas les plus efficaces d’un point de vue sécurité.

Or, il y a un besoin urgent de sécuriser toute la chaine d’approvisionnement d’autant que les infrastructures critiques sont dans le collimateur des cyber criminels et il y a fort à parier que cette tendance ne fera qu’accroitre au cours de l’année à venir. Car bien sûr, il est décevant de voir sur le site que les nouvelles baskets que l’on a repérées sont en rupture de stock, mais ce n’est rien comparé aux prochaines cyberattaques qui affecteront les hôpitaux et autres établissements de santé et retarderont les traitements médicaux et autres livraisons de médicaments. Les attaquants viseront les infrastructures critiques - non seulement les hôpitaux et les fournisseurs d’énergie, mais aussi les fabricants du secteur de l’alimentation et des boissons. Pour ce faire et parvenir à leur fin, les pirates continueront d’utiliser la méthode qui fonctionne : à savoir celle qui consiste à recruter davantage d’initiés dans les entreprises et de les inciter à divulguer des données sensibles en leur offrant de grosses sommes d’argent.

Réagir rapidement est important ; réagir correctement est tout aussi crucial. Les entreprises tombent parfois dans le piège de donner une priorité excessive aux attaques de la supply chain et de négliger des risques plus urgents. Par exemple, même si cela peut sembler être une bonne idée, bloquer les mises à jour de sécurité par crainte qu’elles n’introduisent davantage de portes dérobées malveillantes ferait plus de dégâts qu’autre chose. Un simple coup d’œil à la longue liste de failles de sécurité colmatées à chaque "Patch Tuesday" vous dira à quel point les mises à jour logicielles sont vitales.
Un article récent suggère que "vous êtes fortement encouragé à examiner le code source, s’il est disponible, de tout programme que vous prévoyez d’exécuter sur votre réseau". Si cela peut être possible pour certaines organisations, c’est irréaliste pour la plupart. Même si le code source était disponible - ce qui n’est généralement pas le cas - vous ajouteriez une charge écrasante à vos processus. C’est comme si vous demandiez à tous ceux qui sortent d’une voiture neuve d’engager un mécanicien pour inspecter leurs freins une fois rentrés chez eux, au cas où il y aurait eu un souci sur la chaîne de fabrication : ceci représente une énorme perte de temps et d’argent.

Ce que vous pouvez faire

Assurez-vous que votre réponse réduit réellement le risque (désactiver les mises à jour et les correctifs de sécurité ne le fera pas). Votre chaîne d’approvisionnement fait partie de votre zone de risque, il est donc logique de choisir des fournisseurs réputés et réactifs qui adhèrent aux normes de sécurité et aux meilleures pratiques.

Pour la plupart des entreprises, ce sont les données qui sont le plus à risque - par le biais de la chaîne d’approvisionnement ou de tout autre vecteur. Cependant, les données sont rarement contrôlées aussi bien que les autres actifs. Les organisations peinent à les protéger contre les acteurs de la menace qui sont plus courants et beaucoup moins sophistiqués.

Nous constatons que beaucoup trop d’employés ont accès aux données et que celles-ci sont rarement surveillées pour éviter les abus. Cette situation est incompatible avec les principes de sécurité actuels, tels que le moindre privilège et le Zero Trust, selon lesquels aucune personne, application ou système ne doit pouvoir accéder à plus que ce dont il a besoin. Une mauvaise surveillance rend les enquêtes sur des incidents de ce type très difficiles. L’une des premières questions que nous entendons est : "Ont-ils pris des données ?"
Si vous avez identifié et hiérarchisé vos données importantes et fait en sorte que personne n’ait un accès plus large que nécessaire, votre surface de risque sera alors beaucoup plus gérable. Pour réduire davantage le risque, vous devez surveiller la manière dont les données sont utilisées pour vous assurer que les personnes ayant un accès n’ont pas été compromises.

Le CISA a souligné l’importance de la modélisation comportementale dans son alerte sur cet APT :

"Étant donné que des jetons et des comptes de sécurité valides, mais non autorisés, sont utilisés, la détection de cette activité nécessitera la maturité nécessaire pour identifier les actions qui sortent des fonctions normales d’un utilisateur. Par exemple, il est peu probable qu’un compte associé au département des ressources humaines ait besoin d’accéder à la base de données de renseignement sur les cybermenaces."

Avec la quantité de données que les entreprises créent et partagent chaque jour, ces dernières ne peuvent pas analyser les données pour en déterminer la criticité, atteindre le moindre privilège ou le Zero Trust, ou encore détecter un comportement inhabituel sans une automatisation sophistiquée. Les experts sécurité sont déjà très sollicités. Les projets de nettoyage manuel et les enquêtes sans fin ne sont pas viables. Les acteurs de la menace sont de plus en plus compétents, motivés et patients. La plupart des entreprises sont dépassées lorsqu’il s’agit de se défendre contre les attaquants de l’année dernière - ignorer les nouveaux serait tellement 2021.