Dans cet article, nous allons nous pencher sur les risques d’attaques via la supply chain, sur les moyens que les entreprises peuvent mettre en œuvre pour s’en protéger et sur les stratégies permettant de réduire les conséquences d’une telle attaque.
Bien qu’il existe des risques d’ordre général à connaître lorsque votre supply chain comporte différents partenaires, nous allons nous concentrer sur les attaques actives susceptibles de vous concerner, comme celle qui a touché SolarWinds et les nombreuses multinationales de premier plan faisant partie de ses clients.
Cette attaque a été un vrai électrochoc pour de nombreuses entreprises. Soutenus par un État, des hackers sont en effet parvenus à infiltrer les systèmes d’une société qui proposait des services d’infrastructure à plus de 80 % des entreprises du Fortune 500, des agences du gouvernement fédéral américain, mais aussi des centaines d’établissements d’enseignement publics.
Ces hackers ont ainsi pu se cacher dans les réseaux de ces organisations et ont fait en sorte de rester dans l’ombre pour pouvoir dérober des informations. Cet événement montre que les tiers peuvent constituer des vulnérabilités exploitables, même pour les plus grandes entreprises au monde. Plus que jamais, les entreprises doivent prendre en compte leur supply chain dans leurs stratégies de gestion des risques.
Risques de la supply chain
Gérer les risques de la supply chain, c’est s’assurer que vos fournisseurs ne vous exposent pas à des risques particuliers, mais aussi traiter les menaces pouvant peser sur vous s’ils venaient à faire l’objet d’une attaque, d’une fuite de données ou d’un autre type d’incident.
De nombreuses menaces rôdent autour de votre supply chain. En les connaissant, vous pouvez vous en prémunir et mettre en place des processus susceptibles de limiter les dégâts si le pire venait à se produire.
Risques posés par les prestataires de services dans le cloud
L’émergence du cloud a permis aux entreprises de confier la plupart de leurs processus métier, qu’ils soient stratégiques ou non, à des prestataires de services : systèmes de gestion de contenus, gestion des médias sociaux, services et hébergement de bases de données pour ne citer que les plus connus.
Les attaquants peuvent cibler ces prestataires essentiels, car ils savent qu’ils détiennent potentiellement la clé des données et/ou systèmes de nombreuses entreprises. Toutefois, si un acteur malveillant venait à s’intéresser spécifiquement à votre entreprise, il pourrait très bien s’attaquer à l’un de vos prestataires plus accessoires dans l’espoir que sa sécurité soit moins stricte et lui permette ainsi d’accéder à vos données.
Risques liés à l’open source
Les éditeurs de logiciels s’appuient souvent sur des briques open source pour proposer leurs services ou faire fonctionner leurs solutions, ce qui n’est pas sans poser un risque. En effet, le terme « open source » signifie que le code de ces briques logicielles est public. Il s’agit d’un moyen de rendre un logiciel accessible et peu coûteux, mais aussi de profiter des améliorations proposées par l’ensemble de la communauté.
Ces avantages permettent de bénéficier d’une plus grande agilité et des optimisations de la communauté sans faire exploser les coûts. Malheureusement, des acteurs malveillants peuvent aussi tirer parti de ces caractéristiques pour passer le code source au peigne fin et exploiter les vulnérabilités qu’ils y découvrent. Si vous ignorez l’existence d’une vulnérabilité, vous êtes d’autant plus exposé à une attaque qui en tire parti.
Risques matériels (portes dérobées)
Les risques ne sont pas nécessairement numériques. Les entreprises qui ont fabriqué vos caméras de sécurité, imprimantes ou dispositifs de connexion sans fil (modems et routeurs, par exemple) représentent également un risque. Ce matériel est presque toujours associé à un composant numérique ou sans fil, ce qui étend la surface d’attaque des entreprises qui les utilisent.
Si ces dispositifs matériels intègrent des mots de passe codés en dur, des mesures de sécurité limitées, ou si vous négligez d’en modifier les mots de passe par défaut, vous laissez la porte de votre réseau grande ouverte. Un hacker qui souhaite obtenir des données sensibles ou infiltrer votre réseau par l’intermédiaire de ces appareils n’aura ainsi aucune difficulté à le faire.
Réduire les risques liés à la supply chain : mode d’emploi
Connaître les risques auxquels vous expose votre supply chain ne constitue qu’une première étape. Pour gérer efficacement ces risques, vous devez adopter une approche globale et complète tenant compte des facteurs internes et externes.
Apprendre à connaître la menace
Les acteurs étatiques s’intéressent en permanence à de nombreuses entreprises. Leurs objectifs sont multiples : s’emparer d’éléments de propriété intellectuelle, cibler des entreprises ayant remporté des contrats gouvernements ou encore infiltrer des infrastructures jusqu’à pouvoir faire tomber le réseau ou siphonner un maximum d’informations. Ces acteurs malveillants peuvent tirer parti de nombreux risques mentionnés précédemment ou de plusieurs facteurs de risque pour attaquer les tiers d’une entreprise.
Comme nous l’avons vu, l’attaque contre SolarWinds provenait d’un acteur étranger. Les États-Unis ont par ailleurs interdit l’utilisation d’appareils de télécommunications de certains pays dans leurs infrastructures stratégiques, en invoquant des questions de sécurité nationale.
Comprendre le profil de risque de sa supply chain
Si le service d’une entreprise comme Slack devient indisponible, votre entreprise rencontrera certes des difficultés de communication, mais elle pourra toujours se rabattre sur d’autres méthodes. Au final, cette défaillance n’aura pas d’impact sur vos services métier.
En revanche, si votre prestataire de services dans le cloud tombait suite à une attaque, sa défaillance pourrait avoir des conséquences sur votre site Web, vos données et les données de vos clients. Votre entreprise rencontrerait alors de sérieuses difficultés.
Gérer l’intégration de vos fournisseurs
Reprenons l’exemple de Slack. Si un hacker vient à cibler spécifiquement votre entreprise et sait que Slack compte parmi vos fournisseurs, il pourra essayer d’exploiter des vulnérabilités permettant d’accéder au Slack de votre entreprise, de localiser des données importantes, d’espionner des canaux sensibles et même d’accéder au réseau de l’entreprise.
En revanche, si vous avez installé Slack (ou autre logiciel similaire) en ayant gardé à l’esprit les questions de sécurité, vous pouvez vous assurer qu’aucun fournisseur ne dispose d’accès superflus à votre réseau ou à vos données.
Stratégies efficaces de gestion des risques de la supply chain
La gestion des risques de la supply chain peut s’avérer complexe, notamment en comparaison avec la sécurisation de vos propres systèmes et environnements internes. Il s’agit d’une initiative continue qui doit représenter une partie essentielle de votre stratégie globale de gestion des risques et de cybersécurité. Voici quelques règles à suivre pour vous protéger des attaques contre votre supply chain.
Maîtriser l’écosystème de la supply chain
Sans une visibilité suffisante sur votre supply chain, il vous sera incroyablement difficile d’en gérer les risques. Collaborez avec les autres services pour vous assurer de connaître l’ensemble de vos fournisseurs, tiers et partenaires. Ensuite, déterminez lesquels vous exposent au risque le plus important. S’ils étaient attaqués, quel serait l’impact de cette attaque sur la capacité de votre entreprise à fonctionner ou à servir ses clients ? En cas de fuite de données, vos données ou votre réseau seraient-ils exposés ?
Comprendre l’importance de ces fournisseurs pour votre entreprise vous aidera à mettre sur pied un plan de réponse aux incidents approprié.
Limiter l’accès et les intégrations de votre supply chain à votre réseau
De nombreux hackers et groupes malveillants tentent de s’en prendre à des entreprises par le biais de leurs partenaires en espérant ainsi ne pas être détectés et tirer profit d’un niveau de sécurité moindre. Toutefois, avec une segmentation réseau appropriée, une limitation des accès à votre réseau et un accès aux données limité au strict nécessaire, vous réduisez les dégâts qu’un hacker peut engendrer sur votre propre réseau.
Surveiller votre réseau pour détecter toute activité suspecte
Vous ne pouvez pas empêcher tous les accès réseau pour l’ensemble de l’environnement de votre supply chain : assurez-vous donc de mettre en place un système de surveillance et de suivi. Si un des acteurs de votre supply chain adopte un comportement inhabituel, voire accède à des données ou des zones de votre réseau qui ne le concernent pas, votre écosystème est peut-être compromis.
Préparer un plan de réponse aux incidents pour vos fournisseurs stratégiques
Vous devez anticiper le pire pour les fournisseurs et partenaires stratégiques de votre supply chain et préparer un plan de réponse aux incidents. Imaginez qu’un de vos fournisseurs stratégiques soit dans l’incapacité d’accomplir ses services. Comment communiqueriez-vous avec vos clients ? Existe-t-il un autre fournisseur ou une autre solution interne que vous pourriez utiliser ? Sous quel délai pourriez-vous reprendre une activité normale tout en empêchant la situation de s’aggraver ?
Lorsque vous préparez ces scénarios, donnez la priorité à la reprise de l’activité la plus rapide possible, limitez les exfiltrations de données et assurez-vous de disposer d’une stratégie de communication si l’incident venait à devenir public. Ainsi, vous pourrez continuer à servir vos clients sans mettre en danger vos systèmes, vos réseaux et votre réputation.
Les pièces du puzzle s’assemblent
Dans l’idéal, la gestion des risques de la supply chain doit suivre une approche globale et s’inscrire dans un cadre général de gestion des risques. Vous pourrez ainsi vous assurer de tenir compte des plans interne et externe, et donner à votre service les meilleures chances de gérer les risques à mesure que votre entreprise se développe et intègre de nouveaux fournisseurs.
Pour en savoir plus sur la méthode à suivre pour protéger vos données internes et s’assurer qu’elles ne tombent pas entre de mauvaises mains, consultez la solution de détection des menaces et de réponse de Varonis.