Les chaînes d’approvisionnement constituent un terrain de jeu potentiel pour les hackers.
En raison de leur complexité et de la dépendance inhérente à l’égard de partenaires, les chaînes d’approvisionnement regorgent de risques et de défis en matière de cybersécurité. Les RSSI et DSI doivent abandonner l’idée selon laquelle les problèmes de sécurité des partenaires de la chaîne d’approvisionnement n’affecteront pas leur entreprise et prendre des mesures pour protéger la sécurité de la chaîne d’approvisionnement de leur entreprise.
La plupart des principaux risques de sécurité pour les chaînes d’approvisionnement sont des méthodes spécifiques utilisées par les attaquants, telles que l’ingénierie sociale, les ransomwares, les identifiants de connexion volés et les logiciels compromis. Cependant, la négligence des responsables de la sécurité, notamment le fait de négliger les tests des systèmes, constitue également un problème de sécurité majeur pour les chaînes d’approvisionnement de nombreuses entreprises. Les dirigeants doivent aborder les questions de sécurité et ne pas simplement supposer que leurs efforts en matière de sécurité fonctionnent comme prévu.
Apprenez-en davantage sur les principaux risques liés à la cybersécurité de la chaîne d’approvisionnement et sur la manière d’y faire face.
Les 5 principaux risques de cybersécurité de la chaîne d’approvisionnement
Les attaques contre la chaîne d’approvisionnement peuvent prendre de nombreuses formes, mais ce sont ces risques qui devraient inquiéter les responsables de la cybersécurité. Les entreprises et leurs partenaires de la chaîne d’approvisionnement peuvent tous deux être affectés par ces problèmes, qui peuvent créer des problèmes majeurs dans la chaîne d’approvisionnement en raison du partage des données entre les partenaires.
Voici les principaux risques dont les responsables de la sécurité doivent être conscients.
1. Ingénierie sociale
L’ingénierie sociale est sans doute l’un des exploits les plus faciles à réaliser pour les attaquants.
Les attaquants convainquent les utilisateurs de fournir leurs identifiants de connexion, facilitant ainsi l’installation de logiciels malveillants ou l’accès à des informations sensibles. Les attaques d’ingénierie sociale peuvent avoir lieu via le phishing, le smishing, les contacts en personne ou les réseaux sociaux.
Les entreprises tentent souvent de répondre à cette menace en sensibilisant les utilisateurs à la sécurité, mais les employés se laissent souvent prendre à ces tactiques, ce qui en fait un risque majeur pour la chaîne d’approvisionnement.
2. Identifiants de connexion volés
Les criminels peuvent lancer des attaques une fois qu’ils ont obtenu les informations de connexion au domaine réseau, aux applications et aux bases de données auprès des personnes y ayant accès.
L’exposition des informations de connexion peut se produire de plusieurs manières. L’ingénierie sociale, en particulier le phishing, peut amener les utilisateurs à transmettre leurs identifiants de connexion, et les logiciels malveillants, également appelés enregistreurs de frappe, peuvent suivre les frappes effectuées sur un ordinateur et saisir ainsi les mots de passe.
Les attaquants peuvent également rechercher sur le Web profond les informations de connexion exposées pour une entreprise donnée. Dans certains cas, ils sont capables de découvrir des paires d’informations d’identification complètes qui permettent un accès complet aux systèmes via des capacités d’authentification unique ainsi que tout ce qui est lié à ces systèmes.
3. Logiciel compromis
Les attaquants injectent souvent du code malveillant dans des bibliothèques de logiciels tiers intégrées à l’environnement de la chaîne d’approvisionnement d’un fournisseur. Lorsque ces problèmes surviennent, les vulnérabilités des tiers deviennent également les vulnérabilités de leurs partenaires.
Ces compromissions logicielles peuvent se produire de différentes manières. Par exemple, un utilisateur peut publier une clé secrète de chiffrement en ligne ou des attaquants peuvent télécharger du code malveillant dans des référentiels publics.
Les logiciels compromis peuvent également prendre la forme d’utilisateurs mettant involontairement du code vulnérable en production, ce qui introduit des vulnérabilités telles que l’injection SQL, qui peuvent faciliter davantage les attaques.
4. Manque de surveillance et de maintenance du système
Certains des principaux facteurs favorisant les attaques de la chaîne d’approvisionnement sont des tests de sécurité inappropriés, une mauvaise gestion des vulnérabilités et des correctifs, ainsi que la réutilisation des comptes, qui consiste pour les employés à utiliser leurs identifiants de connexion professionnels pour des sites Web personnels.
Ces aspects de la sécurité sont également extrêmement difficiles à maîtriser au sein de l’entreprise. Les responsables de la cybersécurité doivent reconnaître ces lacunes dans le programme de sécurité de leur entreprise et y remédier correctement, notamment en sensibilisant les utilisateurs aux dangers de la réutilisation des mots de passe et en mettant en œuvre des tests réguliers.
5. Rançongiciel
Les ransomwares constituent sans doute la pire menace pour une chaîne d’approvisionnement.
Lorsque les ransomwares verrouillent les systèmes critiques, ils interrompent les transactions commerciales et mettent en danger tous les fichiers et bases de données associés. Les effets d’entraînement peuvent inclure la perte d’informations due au manque de sauvegardes ou l’exposition complète des données de l’entreprise causée par des criminels siphonnant des informations sur un réseau et les partageant en ligne.
Ces effets d’entraînement peuvent finir par nuire à toutes les activités en aval.
3 façons de gérer les risques de cybersécurité de la chaîne d’approvisionnement
Ces étapes peuvent aider les responsables de la cybersécurité à déterminer les risques liés aux tiers de leur entreprise et à renforcer leur propre résilience commerciale.
1. Déterminer comment les risques liés aux tiers peuvent affecter les opérations de l’entreprise
Une vigilance accrue est requise de la part des fournisseurs et des partenaires commerciaux, et les dirigeants ont tendance à supposer que les risques de sécurité liés aux tiers ne sont que le problème de ces partenaires, ce qui est faux.
Une entreprise ne peut pas faire grand-chose pour remédier aux vulnérabilités de sécurité de ses fournisseurs tiers de chaîne d’approvisionnement, car les dirigeants ne peuvent pas forcer leurs fournisseurs à apporter des changements. Les dirigeants peuvent décider de ne plus faire affaire avec un fournisseur en raison de leur manque de sécurité, mais cette décision pourrait ne pas être possible si le fournisseur est un bon partenaire commercial pour d’autres raisons. Par exemple, un fournisseur peut être le seul fournisseur d’une certaine pièce de machine dans la région environnante.
La meilleure solution consiste à reconnaître les problèmes de sécurité des partenaires tout en renforçant la résilience des opérations, du réseau et des personnes de l’entreprise afin que l’impact soit aussi minime que possible si un fournisseur est confronté à un incident de sécurité. Des outils tels que les questionnaires de sécurité et le langage contractuel peuvent minimiser les risques liés aux tiers, mais les responsables de la sécurité doivent néanmoins se préparer aux attaques contre les partenaires de leur entreprise.
Les responsables de la sécurité doivent effectuer des exercices théoriques avec les parties prenantes de l’organisation qui examinent des scénarios tels que la mise hors ligne du réseau d’un certain fournisseur ou l’exposition des informations de l’entreprise. La planification est essentielle pour que les dirigeants soient prêts lorsque des scénarios réels se produiront.
2. Effectuer des évaluations de sécurité
Ne pas réaliser correctement les évaluations de sécurité est un problème courant, quelle que soit la taille de l’organisation. Les responsables de la cybersécurité doivent travailler sur ces défis avant qu’une crise ne survienne et que tout le monde soit en mode réaction.
Les problèmes de sécurité globaux varient selon l’entreprise. Certaines organisations doivent améliorer leur gestion des vulnérabilités, tandis que d’autres doivent améliorer la visibilité de leur réseau et leur réponse aux incidents.
Certaines des étapes les plus fréquemment négligées dans les évaluations de sécurité incluent le fait de ne pas tester tous les hôtes et applications du réseau, de ne pas les tester sous tous les angles et de ne pas les tester avec les bons outils. Ce manque d’attention aux évaluations de sécurité conduit à des exploits dans la chaîne d’approvisionnement.
3. Mesurer les succès et les échecs en matière de sécurité
Les mesures de cybersécurité peuvent aider à déterminer les domaines dans lesquels une entreprise réussit en matière de cybersécurité ainsi que les problèmes qui doivent encore être résolus.
Les mesures de chaque entreprise seront différentes, mais une évaluation détaillée des risques liés aux informations et des conversations franches avec les membres du comité de sécurité révéleront les domaines les plus importants à mesurer.
Certaines mesures courantes de cybersécurité sont la cadence des correctifs de sécurité, ou la cadence des correctifs de sécurité des fournisseurs et la vitesse de leur mise en œuvre ; le niveau de préparation, qui mesure le degré de préparation d’une entreprise à différents types d’attaques ; et le temps moyen de résolution, ou la moyenne du temps nécessaire à une entreprise pour répondre à un incident.
Kevin Beaver est un consultant indépendant en sécurité de l’information, écrivain et conférencier professionnel chez Principle Logic, LLC, basé à Atlanta. Avec plus de 30 ans d’expérience dans l’industrie, Kevin se spécialise dans la réalisation de tests de vulnérabilité et d’intrusion ainsi que dans le travail de conseil virtuel en matière de RSSI.