Cyberattaques dans la supply chain : 98 % des entreprises ont reçu des menaces par email via leurs fournisseurs

avril 2021 par Proofpoint

Les cyberattaques indirectes ont le vent en poupe et les attaquants exploitent de plus en plus les relations de confiance établies entre les entreprises et leurs fournisseurs pour accéder aux données confidentielles qu’ils convoitent.

Ils usurpent l’identité et s’approprient des comptes compromis de partenaires pour envoyer des logiciels malveillants, voler des informations d’identification et commettre des fraudes à la facturation. Dans une étude récente, Proofpoint indique que 98 % des organisations sur un panel mondial de 3000 entreprises ont reçu une menace provenant d’un domaine fournisseur au cours d’une période de 7 jours en février 2021.

À quoi ressemblent les menaces liées aux fournisseurs ?

Selon Proofpoint, les attaquants utilisent les fournisseurs et les partenaires commerciaux pour envoyer tous les types de menaces : phishing, logiciels malveillants ou attaques de compromission d’emails professionnels de type BEC. L’étude montre que ces menaces dans la supply chain provenant de fournisseurs usurpés ou compromis s’appuient sur l’ingénierie sociale pour maximiser leurs chances de succès. 74 % des menaces sont du phishing et moins de 30 % des menaces envoyées depuis des domaines de fournisseurs étaient liées à des logiciels malveillants démontrant ainsi que les attaquants ciblent les personnes plutôt que les vulnérabilités de l’infrastructure des entreprises.

Les plateformes de collaboration populaires telles que Microsoft 365, Google G-Suite et Dropbox sont également exploitées à un rythme alarmant pour héberger des menaces dans le cloud.

Des pertes financières conséquentes

Si les menaces de fraude par e-mail sont de faible volume et très ciblées, elles représentent souvent des pertes financières importantes. Proofpoint a observé et arrêté des attaques de fraude à la facturation de fournisseurs se chiffrant en millions de dollars. De plus, selon le rapport annuel « Internet Crime Report 2020 » du FBI, les escroqueries de type Business Email Compromise (BEC) et Email Account Compromise (EAC) représentent la plus grande perte financière en 2020, coûtant aux entreprises victimes près de 1,9 milliard de dollars.

Les secteurs les plus touchés concernent la finance, l’industrie, ou encore les services publics, la communication, le commerce et transport, cependant, les entreprises de toutes tailles et de tous secteurs sont exposées aux risques liés aux fournisseurs confirmant qu’il s’agit d’une préoccupation universelle.

Les cybercriminels ont transformé l’écosystème des partenaires en un vecteur de menaces et les entreprises doivent tout mettre en œuvre pour s’en prémunir. S’il n’y a pas de solution miracle, il convient de mettre en place une défense à plusieurs niveaux : une plateforme de protection contre les menaces complète et intégrée qui bloque les menaces envoyées par des fournisseurs compromis ou usurpés, forme les utilisateurs finaux à repérer et à signaler les e-mails suspects, automatise les enquêtes et les réponses aux incidents et fournit une visibilité sur les fournisseurs qui présentent un risque.