Parmi les exemples d’attaques de la Supply Chain très médiatisées, citons SolarWinds. Il s’agissait d’un groupe de cybercriminels qui a intégré une porte dérobée dans les mises à jour du produit de surveillance du réseau Orion. Les clients de l’entreprise qui ont effectué cette mise à jour malveillante ont été victimes de vols de données et ont été confrontés à d’autres problèmes de sécurité. Autre exemple, le groupe de ransomware REvil qui a exploité Kaseya, un éditeur de logiciels destinés aux fournisseurs de services gérés (MSP), pour infecter plus de 1 000 clients avec un ransomware. Les cybercriminels sont allés jusqu’à demander une rançon de 70 millions de dollars en échange des clés de décryptage à tous les utilisateurs concernés.

Déroulement d’une attaque de la chaîne d’approvisionnement

Ce type d’attaque exploite les relations de confiance qui existent entre différentes organisations. Il va de soi que chaque entreprise fait implicitement confiance aux autres puisqu’elle installe et utilise ses logiciels sur ses réseaux ou travaille avec elles en tant que prestataire. Ce type de menace cible le maillon le plus faible d’une chaîne de confiance. Si une entreprise dispose d’une cybersécurité solide, mais que son fournisseur est peu fiable, c’est lui que les cybercriminels cibleront. Une fois qu’ils ont réussi à pénétrer dans le réseau de ce fournisseur, les attaquants peuvent accéder au réseau plus sûr par le biais de ce lien.

Les cybercriminels exploitent souvent les vulnérabilités de la Supply Chain pour répandre des logiciels malveillants

Il est courant qu’une attaque de la chaîne d’approvisionnement cible les MSP (fournisseurs de services gérés) car ils ont un accès étendu aux réseaux de leurs clients, un atout très précieux pour un attaquant. Après avoir exploité le MSP, l’attaquant peut facilement s’étendre aux réseaux de ces clients. De plus, en exploitant leurs vulnérabilités, ces attaquants ont un meilleur impact et peuvent accéder à des zones qui seraient bien plus difficiles à atteindre s’ils le faisaient directement.

Quand l’attaquant a réussi à obtenir l’accès, il peut alors procéder à tout autre type de cyberattaque, notamment :

Violation des données : Les défaillances de la chaîne d’approvisionnement sont couramment invoquées pour effectuer des violations de données. À titre d’exemple, le piratage de SolarWinds a exposé les données sensibles de plusieurs organisations des secteurs public et privé.
Attaques de logiciels malveillants : Les cybercriminels exploitent souvent les vulnérabilités de la chaîne d’approvisionnement pour distribuer des malwares dans l’entreprise cible. SolarWinds comprenait la livraison d’une porte dérobée malveillante, et l’attaque sur Kaseya a entraîné un ransomware conçu pour l’exploiter.

Les meilleures techniques pour identifier et limiter les attaques de la chaîne d’approvisionnement

Malgré le danger que représente cette menace, il existe des techniques destinées à protéger une entreprise :

1. Instaurer une politique du moindre privilège : De nombreuses organisations attribuent un nombre excessif d’accès et de permissions à leurs employés, partenaires et logiciels. Ce surplus d’autorisations facilite les attaques de la chaîne d’approvisionnement. Il est donc impératif de recourir à une politique du moindre privilège et d’attribuer à tous les membres de l’entreprise, ainsi qu’au logiciel lui-même, les autorisations dont ils ont besoin pour effectuer leur propre travail.

2. Segmenter le réseau : Les logiciels tiers et les organisations partenaires n’ont pas besoin d’un accès illimité à tous les recoins du réseau de l’entreprise. Pour écarter tout risque, il est conseillé de recourir à la segmentation du réseau pour le diviser en zones selon les différentes activités. De cette façon, si une attaque de la chaîne d’approvisionnement compromet une partie du réseau, le reste restera protégé.

3. Appliquer les pratiques DevSecOps : En intégrant la sécurité dans le cycle de vie du développement, il est possible de détecter si un logiciel, tel que les mises à jour d’Orion, a été modifié de manière malveillante.

4. Prévention automatisée des menaces et chasse aux risques : Les analystes du centre des opérations de sécurité (SOC) doivent se protéger contre les attaques dans tous les environnements organisationnels, y compris les points d’extrémité, le réseau, le cloud et les appareils mobiles.