Attaques de la Supply Chain

Written By Fahad Rejabo

Si vous avez soudain l'impression que chaque fois que vous vous retournez, la chaîne d'approvisionnement de quelqu'un est attaquée, eh bien, vous n'êtes pas seul, et vous n'avez pas tort.  Selon divers rapports de 2021 et de 2022, les chaînes d'approvisionnement mondiales ont été les plus touchées par les attaques de ransomware en 2021 et le seront encore pendant un certain temps.

Pourquoi les chaînes d'approvisionnement, me direz-vous ? Quelque chose comme l'infrastructure critique ne serait-il pas plus intéressant, peut-être même un gouvernement ?  Il semble que la raison en soit que les chaînes d'approvisionnement sont fortement liées à l'industrie numéro 1 visée - l'industrie manufacturière.   Avec une technologie de plus en plus détaillée et une industrie qui souhaite avoir une visibilité sur ses technologies de l'information, ainsi que des ressources réduites dans certains cas, le fossé entre les technologies de l'information et les technologies de l'information s'est réduit, voire a disparu complètement.  Ainsi, des attaques que l'on croyait autrefois impossibles s'avèrent non seulement possibles, mais aussi très rentables pour les cybercriminels et les extorqueurs.  Et, il s'agit d'extorsion, uniquement du côté technologique.  Même si l'espionnage et le sabotage en font partie, cela commence généralement par l'extorsion.

Deuxièmement, elles ont tendance à être plus rentables que les autres et semblent attirer moins l'attention des forces de l'ordre.  On note également dans plusieurs rapports, qu'il s'agisse de plusieurs pages ou d'un simple commentaire sur un site web, que certaines de ces attaques de la chaîne d'approvisionnement ne sont pas signalées par crainte de nuire à la réputation des entreprises victimes ou à celle de l'entreprise qu'elles approvisionnent et de perdre des contrats.

Les rapports de l'ENISA, d’ARGON, d’IBM X Force, de CISA et d'autres organismes montrent que les attaques ont augmenté en 2021, parfois de 300 à 400 %.  Tous semblent également s'accorder sur le fait que l'accès aux réseaux par phishing, par vol d'identifiants RDP (Remote Desktop Protocols) ou par force brute, et l'exploitation des vulnérabilités sont les principaux vecteurs d'attaque.  La gestion des vulnérabilités et le manque de correctifs qui en découle, associés au manque de ressources en matière de cybersécurité, semblent être l'une des principales raisons de cette situation.  Bien que de nouvelles vulnérabilités comme l'attaque Log4j aient été utilisées, certaines attaques plus anciennes ont également fonctionné.  REvil semble être le principal "ransomware de prédilection" des attaquants, utilisé dans 31 à 50 % des attaques, les autres ne représentant qu'un faible pourcentage du reste.

Avec les activités récentes en Ukraine, les attaques dans le futur et pendant le conflit ne feront qu'augmenter. 

Que peut-on faire ? 

Comme le suggèrent la plupart des rapports et des experts, la formation et la sensibilisation à la sécurité, la gestion des vulnérabilités, les correctifs, les tests et la surveillance contribueraient grandement à réduire le nombre d'attaques réussies.  Oui, des outils comme Log4j sont nouveaux et inconnus jusqu'à présent, mais d'autres sont plus anciens et sont toujours signalés lors de violations. 

Les entreprises ont des appareils et des systèmes qui ne sont pas patchés ou recyclés pour diverses raisons.  Il peut s'agir d'applications anciennes, de logiciels en fin de vie, d'interopérabilité avec des dispositifs OT ou même IT plus anciens, ou, ce qui est probablement le plus courant, d'un simple manque de fonds, pour n'en citer que quelques-unes.   La vieille expression "Si ce n'est pas cassé, ne le réparez pas" ne s'applique pas de la même manière à la cybersécurité.

Le coût moyen d'une violation de la cybersécurité étant d'environ 4,24 millions de dollars (rapport IBM/Ponemon 2021), le coût de certains de ces changements peut-il encore être considéré comme trop élevé ? N'oubliez pas qu'il s'agit du coût pour les entreprises qui survivent à une violation de données. 

Quelques solutions communes pour aider à réduire le potentiel des attaques de la chaîne d'approvisionnement:

·       Demandez aux fournisseurs si leur entreprise est certifiée ISO, NIST ou similaire

·       Demandez aux fournisseurs s'ils ont mis en place un programme de sensibilisation à la sécurité et au phishing

·       Demandez aux fournisseurs s'ils disposent d'un système de gestion des vulnérabilités

·       Les fournisseurs sont-ils suivis pour des événements de sécurité tels que :

o   Intrusions

o   Malware, Ransomware, Virus

o   Attaques DDoS, etc

·       Les fournisseurs effectuent-ils régulièrement des analyses de vulnérabilité ou des tests de pénétration de leur infrastructure, de leurs logiciels et de leur implantation sur Internet

·       Les fournisseurs organisent-ils des exercices d'équipe RED/BLUE ou des exercices sur maquette pour leurs équipes de sécurité

Cette liste n'est pas une solution complète à tous les problèmes mais montre certains des éléments à prendre en compte avec les fournisseurs.

Ce n'était qu'un court article pour stimuler votre esprit créatif en matière de cybersécurité. 

Fahad Rejabo
Previous

EDPB RGPD Article 15
Next

Comment lancer un programme de cybersécurité