Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Stopper les effets de cascade pour contrer les cyberattaques visant la supply chain

septembre 2021 par Thibault Lapédagne, directeur cybersécurité chez CyberVadis

Selon un récent rapport de l’agence européenne ENISA consacré aux cyberattaques ayant visé la supply chain entre janvier 2020 et juillet 2021, 62 % des campagnes qui ont touché des clients ont tiré profit de la confiance accordée à leur fournisseur. Si de nombreuses entreprises ont désormais pris en compte les cybermenaces qui pèsent sur elles, et adapté leur défense en conséquence, peu d’entre elles se penchent en effet sur le niveau de sécurité de leurs partenaires et fournisseurs. Or, ces derniers peuvent accéder à des données parfois sensibles, et représentent donc une porte d’entrée discrète, mais solide, vers des zones critiques du réseau.

Selon Thibault Lapédagne, directeur cybersécurité chez CyberVadis, les cyberattaques contre la supply chain s’accélèrent depuis 2020, les organisations doivent donc s’adapter au plus vite.

« La chaîne d’approvisionnement est une cible de choix pour les cybercriminels, car elle permet de s’infiltrer par rebond : en compromettant un fournisseur, par exemple, les hackers pourraient prendre l’ascendant sur tous ses clients. L’impact possible en termes de propagation et de compromission est de ce fait à considérer avec la plus grande attention.

Selon le rapport ENISA, il y aura quatre fois plus d’attaques sur la supply chain en 2021 qu’en 2020. La moitié d’entre elles sont attribuées aux groupes APT (Menace persistante avancée). Leur complexité et leurs ressources dépassent donc largement les campagnes non ciblées les plus courantes. La sophistication de ces attaques vient cependant de leur envergure et de la planification qu’elles requièrent, mais non des vecteurs d’attaques employés. Ces techniques sont bien connues et ne sauraient être contenues par une politique de sécurité stricte. Il s’agit notamment d’ingénierie sociale, d’attaque par force brute, d’exploitation de vulnérabilités de logiciel ou de configuration, ou encore de malware. Il y a donc un besoin croissant de nouvelles méthodes de protection intégrant facilement les tierces parties, afin de garantir la sécurité des organisations.

Autre enseignement du rapport, 66 % des vecteurs d’attaque utilisés contre les fournisseurs restent encore inconnus. Seulement, ce manque de capacité à enquêter et à trouver la source des vulnérabilités montre les limites de la confiance accordée aux parties tierces, à tort parfois. Améliorer le processus de transparence et de responsabilité est alors clé pour renforcer la sécurité de tous les acteurs de la supply chain et protéger les clients finaux. Pour ce faire, les entreprises doivent imposer les mêmes exigences de cybersécurité à leurs partenaires et fournisseurs qu’à elles-mêmes, et avoir une vue holistique sur les capacités de tous les maillons de sa chaîne d’approvisionnement à faire face aux cybermenaces.

Il convient donc d’interroger ses fournisseurs et ses partenaires pour évaluer leur stratégie de cybersécurité en place. Mais un questionnaire déclaratif n’est pas suffisant, car rien ne garantit formellement des règles de sécurité établies, ou que ces dernières sont effectivement adoptées par l’ensemble des employés. Pour pallier ces vulnérabilités potentielles, il est nécessaire de procéder à des audits approfondis, au cours desquels chaque contrôle de sécurité est confirmé par des preuves. Ces évaluations doivent être de plus réalisées régulièrement, car aucun tiers n’est à l’abri d’une mauvaise cyber-hygiène par quelques collaborateurs qui décideraient de passer outre les exigences de cyberprotection, par lassitude ou pour simplifier leur quotidien.

Comme toute chaîne, la supply chain est aussi forte que son maillon le plus faible. Alors qu’elle est actuellement particulièrement visée par des campagnes malveillantes, du fait d’un effet de cascade potentiel, tous ses membres doivent travailler de concert pour garantir la sécurité de chacun. Et si les attaques la visant actuellement semblent sophistiquées, il ne s’agit dans les faits que de techniques connues contre lesquelles il est possible de se protéger grâce à une stratégie cybersécurité stricte et appliquée par toutes les parties qui interagissent ensemble, qu’elles soient internes ou externes. Il est ici question de responsabilité collective, pour garantir la cybersécurité et la pérennité de tout un écosystème, au cœur duquel de nombreuses organisations et acteurs interagissent. »




Voir les articles précédents

    

Voir les articles suivants