Votre entreprise comprend-elle vraiment ses dépendances et comment atténuer les risques posés par une attaque sur eux?
12 août 2025
•
,
4 min. lire
Une table ronde à Def Con 33 la semaine dernière, intitulée «Adversaires en guerre: tactiques, technologies et leçons des champs de bataille modernes», a offert plusieurs points stimulants, ainsi qu’un point à retenir clair: tandis que les tactiques numériques telles que les campagnes de désinformation et d’influence sont utiles dans les conflits modernes, ils ne vont pas gagner une guerre. En effet, lorsque les bombes commencent à baisser et que les éléments physiques de la guerre sont en cours, la désinformation qui se propage par les canaux numériques devient moins importante. Naturellement, les victimes de conflits et les personnes déplacées ont des priorités plus urgentes: nourriture, abri et rester en vie.
Tournant la conversation vers si une guerre pouvait être gagnée en utilisant des cyberattaques et des perturbations numériques, il y avait également un accord entre les panélistes que les cyberattaques créent des dommages temporaires, tandis qu’une bombe atterrissant sur quelque chose est une méthode de destruction plus efficace et durable.
Les attaques contre les infrastructures critiques en Ukraine le confirment potentiellement: les acteurs alignés par la Russie ont lancé de nombreuses cyberattaques contre le réseau électrique du pays, entraînant des perturbations temporaires car les systèmes peuvent être reconstruits et rendre opérationnels à nouveau dans une période relativement courte. Pendant ce temps, une bombe atterrissant sur une installation d’électricité est susceptible de causer des dommages à long terme et une limitation du service qui pourraient prendre des mois ou des années à restaurer. La conclusion de grande échelle sur cette partie de la table ronde est qu’une guerre ne peut pas être gagnée par le cyber seul – elle doit encore être gagnée sur le champ de bataille physique.
Cyber et Sécurité physique
La discussion a ensuite évolué vers la façon dont le cyber affecte le physique. Un panéliste a fait le commentaire à l’effet que «une armée ne peut pas se battre si elle n’a pas été nourrie». Autrement dit, car un nombre croissant d’entrepreneurs civils sont utilisés pour fournir la logistique nécessaire pour faire fonctionner une armée, ce qui rend la surface d’attaque plus large qu’elle ne peut paraître.
Le panneau a utilisé Taco Bell comme analogie fictive. Un pirate pourrait prétendre avoir modifié l’approvisionnement en eau à Taco Bell, mais en y regardant de plus près, il pourrait simplement être falsifié du refroidisseur d’eau d’un restaurant, ce qui ne serait pas suffisant pour affecter ses opérations.
Cependant, une cyberattaque sur la chaîne d’approvisionnement de Taco Bell pourrait l’emporter à un arrêt opérationnel. Comment? En arrêtant les livraisons de produits au restaurant. Cette dépendance pourrait être encore plus obscure: une attaque contre les entreprises qui fournissent la viande utilisée dans les tacos pourrait potentiellement provoquer des opérations de taco-cloche en raison d’un manque d’ingrédients pour les repas. L’analogie est vraie pour les militaires: sans nourriture, les troupes ne peuvent pas se battre ou sont, au mieux, limitées.
Ce que cela signifie pour votre entreprise
En déplaçant au-delà de la table ronde, cela soulève une question critique pour les entreprises: comprennent-ils vraiment que leurs dépendances sont résilientes opérationnelles? Comprennent-ils la dépendance de leurs clients pour assurer le fonctionnement continu de leur propre entreprise?
En vous collant avec l’analogie de Taco Bell, imaginez une cyberattaque qui enlève un élément clé que l’entreprise a besoin pour opérer; Par exemple, si l’entreprise s’appuie sur un fournisseur d’assaisonnement TACO, une cyberattaque contre le fournisseur pourrait affecter la capacité de Taco Bell à continuer de fonctionner. Ce n’est pas une simple spéculation – il existe des exemples réels de cyberattaques qui ont provoqué ce type de perturbation. Par exemple, le cyber-incité souffert par Change Healthcare, une entreprise de traitement des données de santé, a empêché les services médicaux fournis dans les pratiques et les hôpitaux.
Aujourd’hui, pour autant que je sache, les cybercriminels ne font que l’exportation du paiement de ceux qu’ils attaquent directement. Mais que se passe-t-il si un cybercriminal décidait d’attaquer le tiers, puis de demander un paiement d’extorsion de toutes les entreprises qui comptent sur ce fournisseur? Dans mon exemple, disons que la société de saison TACO est perturbée par les ransomwares, et bien que le cybercriminal puisse demander à la société d’assaisonnement de payer directement une demande, ils peuvent en fait gagner plus s’ils demandaient le paiement de toutes les entreprises qui dépendent du produit du fournisseur, car un manque d’approvisionnement peut leur coûter plus cher que le fournisseur lui-même.
Bien que cette stratégie de monétisation puisse sembler spéculative, il y a un point important ici: votre entreprise comprend-elle vraiment ses dépendances et comment atténuer le risque d’attaque contre ceux dont il dépend? Un exemple du monde réel pourrait être une attaque contre une entreprise de restauration qui est contractée pour nourrir les patients dans un hôpital. Si la capacité de nourrir les patients est perturbée en raison d’une cyberattaque, alors l’hôpital peut avoir à déclarer un incident majeur et à étroiter les nouveaux patients. Dans ce scénario, l’hôpital paierait-il une extension qui ramène l’offre de restauration?
Le point à retenir de cette session de panneau pour moi est la suivante: nous devons tous cartographier et comprendre pleinement les dépendances sur lesquelles nous nous appuyons et nous assurer que nous avons la résilience si nécessaire. Si nous ne pouvons pas arriver à un point de résilience, nous avons au moins besoin de comprendre le risque posé par les dépendances.
