Que sont les attaques de la chaîne d’approvisionnement ? – eGospodarka.pl

La propriété intellectuelle – telle que le code source ou les informations sensibles des clients – est la principale raison pour laquelle les PME sont ciblées par les cyberattaques. Cependant, même lorsqu’une entreprise ne dispose pas de données précieuses pour les pirates, elle peut être considérée comme un maillon d’une attaque de la chaîne d’approvisionnement. Dans ce cas, la cible principale de l’attaque est une autre entreprise, mais les pertes pour le fournisseur peuvent être très élevées – à la fois financières et d’image.

Lire aussi :

Une histoire de la cybercriminalité : l’ère des rançongiciels modernes

Le maillon faible et les économies d’échelle

Les attaques contre les chaînes d’approvisionnement sont associées à l’infiltration du système par un partenaire ou un fournisseur externe ayant un haut niveau d’accès aux données. Il peut s’agir d’un fournisseur de services cloud ou d’un fournisseur de logiciels. Les attaques indirectes sont souvent plus faciles et plus rentables pour les cybercriminels que les attaques directes car elles permettent d’accéder à un plus grand nombre d’organisations. Il arrive que le prestataire soit moins protégé que la finalité réelle de l’opération. Dans une telle situation, il est possible de s’introduire dans son système et de profiter des connexions de confiance et d’infrastructure qui ont été construites.

Lorsqu’ils attaquent une chaîne d’approvisionnement, les pirates veulent généralement atteindre l’un des deux objectifs. Le premier concerne une attaque contre une organisation spécifique disposant de ressources importantes. Dans cette situation, son fournisseur devient un « maillon faible » et une porte d’entrée dans un vaste système de protection. Dans le deuxième scénario, les criminels veulent des économies d’échelle. En violant la sécurité d’une entreprise, ils ont installé un implant dans leur produit. Après un certain temps, ils ont accès aux systèmes de la plupart des clients qui se connectent au système infecté. De cette façon, ils peuvent lancer une attaque de ransomware ou voler des informations importantes – explique Leszek Tasiemski, vice-président des produits chez WithSecure.

Attaque Sunburst – L’affaire SolarWinds

Pour illustrer l’impact des attaques sur les chaînes d’approvisionnement, nous pouvons utiliser le cas de SolarWinds – un fournisseur de produits de surveillance de réseau. L’un des modules du système – Orion – a été modifié par des criminels, puis livré à de nombreuses entités via le processus de mise à jour – y compris les plus grandes entreprises américaines et les organisations gouvernementales. Le module, qui imite les opérations normales, a été utilisé pour des activités de reconnaissance et de propagation de logiciels malveillants. Pire encore, en raison du profil des organisations infectées (gouvernement, conseil, télécommunications), il n’a pas été possible de diagnostiquer immédiatement la profondeur de l’infiltration.

photo : tapis. communiqués de presse

Que sont les attaques de la chaîne d’approvisionnement ?

Lorsqu’ils attaquent une chaîne d’approvisionnement, les pirates veulent généralement atteindre l’un des deux objectifs. Le premier concerne une attaque contre une organisation spécifique disposant de ressources importantes. Dans le deuxième scénario, les criminels veulent des économies d’échelle. En violant la sécurité d’une entreprise, ils ont installé un implant dans leur produit.

Comment se protéger des attaques ?

Pour les attaques sophistiquées soutenues par le gouvernement (telles que Sunburst), une protection complète n’est pas possible. Les pirates profitent de l’accès et des relations nécessaires pour travailler avec un fournisseur donné. Cependant, cet exemple montre l’importance de la vigilance chez les propriétaires de petites et moyennes entreprises. Il existe des moyens de protéger ou au moins de minimiser l’impact des failles de sécurité des attaques de la chaîne d’approvisionnement. Les règles de base sont :

1. Sélection rigoureuse des fournisseurs

Les attaques peuvent toucher n’importe qui, mais les fournisseurs qui accordent la priorité à la sécurité, sont audités de manière indépendante et investissent dans la sécurité courent moins de risques. Un bon point de départ est la conformité des partenaires commerciaux avec des certificats tels que ISO27001 ou SAS2 / ISAE3000. Il vaut la peine de demander aux fournisseurs potentiels quelles sont leurs pratiques en matière de cybersécurité, leurs rapports d’évaluation de la sécurité ou leurs résultats d’audit.

2. Accorder un accès de base uniquement

Il est important d’appliquer le principe d’accès minimal – tant aux employés externes qu’internes. Examinez régulièrement les approches approuvées par les fournisseurs pour voir si elles sont toujours nécessaires et ne doivent pas être modifiées. Les points d’intégration, en particulier pour les services cloud, sont un lieu courant pour se tromper. Comme dans le cas des systèmes internes ou des utilisateurs, plus le niveau d’accès d’un compte utilisé pour s’intégrer à un fournisseur donné est faible, moins la perte sera causée par un attaquant, qui intercepte d’une manière ou d’une autre cet accès.

3. Modélisation des menaces

Il convient d’examiner les scénarios d’attaque possibles, en tenant compte de l’approche adoptée par les fournisseurs tiers. L’infrastructure doit être conçue de manière à minimiser les dommages en cas d’atteinte à la sécurité. En modélisant les menaces, il est plus facile d’identifier les « joyaux de la couronne » numériques d’une organisation et les voies d’attaque probables. En conséquence, la sécurité peut être mise en œuvre avec plus de précision.

4. Introduction des solutions EDR/XDR pour la surveillance – Détection et réponse aux points finaux

Les systèmes de détection et de réponse identifient les activités suspectes en temps réel à l’aide de la télémétrie et alertent sur la menace. Dans le cas d’attaques avancées, il est impératif de supposer que les mécanismes de défense de base tels que l’EPP seront violés et l’accent doit être mis sur la détection de la présence d’attaquants dans l’infrastructure en fonction du comportement.

5. Savoir répondre aux menaces

Les incidents ne se produisent pas souvent, il vaut donc la peine de créer des procédures d’intervention et d’apprendre aux employés à les utiliser lors d’exercices contrôlés. En plus des questions techniques, il faut s’occuper de la communication et des scénarios de procédures judiciaires. Il vaut la peine d’oser voire de récompenser les salariés qui signalent des événements suspects (y compris ceux résultant de leur imprudence). Un incident majeur de ce type a été découvert lorsqu’un employé a signalé des demandes téléphoniques inattendues pour l’autorisation de connexion au compte (MFA).

6. Prendre soin de la sécurité de base

Investir dans des types de protection plus modernes qui répondent aux besoins d’un environnement de travail basé sur le cloud ne vous libère pas de la nécessité d’une protection anti-malware ou pare-feu, donc dans la recherche d’améliorations, vous ne pouvez pas oublier les outils de base pour protéger votre l’infrastructure de l’organisation.

Bien que les attaques ciblées contre les petites et moyennes entreprises soient rares, les propriétaires d’entreprise ne devraient pas avoir un faux sentiment de sécurité. Toute organisation peut devenir victime d’opérations à plus grande échelle. Toutes les attaques ne peuvent pas être évitées, mais grâce à la connaissance des menaces, nous pouvons minimiser les effets des activités des cybercriminels – souligne Leszek Tasiemski.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *