Les principaux vecteurs d'attaque
L'analyse des récentes attaques contre la supplychain révèle deux principaux vecteurs d'attaque. Le premier consiste à infiltrer l'infrastructure informatique relativement peu protégée d'une petite ou moyenne entreprise (PME) ou d'un fournisseur de services managés (MSP),puis à utiliser cette brèche comme point d'entrée vers des organisations plus grandes.Le deuxième vecteur d'attaque repose sur l'utilisation de logiciels tiers, tels que des bibliothèques de contenus, des progiciels et des solutions complètes. L'impact peut alors être dévastateur ; par exemple, en 2020, suite au piratage du fournisseur de logiciels SolarWinds, les cybercriminels ont pu introduire un malware dans ses produits de gestion informatique, utilisés par des milliers d'organisations et d'agences gouvernementales dans le monde entier.
Une menace grandissante
Les attaques contre la supplychain vont continuer à augmenter. Ainsi, selon nos recherches, parmi les organisations qui ont subi des cyberattaques contre le cloud en 2022, 15 % ont découvert des incidents dans leur supplychain, contre seulement 6 % en 2020. L'une des principales raisons est que de nombreuses organisations ne disposent tout simplement pas en interne de suffisamment de professionnels de l'informatique et de capacités de cybersécurité. Par conséquent, elles se tournent de plus en plus vers des MSP pour obtenir de l'aide. Or, cela étend d’autant plus leurs supplychain. En outre, les membres de ces écosystèmes sont souvent liés par des relations personnelles de longue date. En raison de cette confiance implicite, ces organisations omettent souvent d'exiger des évaluations régulières des cyber-vulnérabilités et un examen approfondi des droits d'accès et des protocoles de sécurité en place ; ce qui accroît in fine le risque que des cybercriminels compromettent des entités tierces sans être détectés pendant une longue période.Se protéger en conséquence
Pour se défendre contre les attaques visant la supplychain, les entreprises doivent se concentrer sur les mesures de prévention et de détection des menaces dans les trois couches de la surface d'attaque : les identités, les données et l'infrastructure IT.Le premier vecteur d'attaque peut être contenu au niveau de la couche d'identité. Les organisations doivent donc limiter strictement l'accès qu'elles accordent au personnel externe et surveiller de près leur activité pour détecter tout comportement suspect. Idéalement, il convient d’adopter une approche de zéro privilège permanent (ZSP), dans laquelle les utilisateurs se voient accorder l'accès minimum requis pour accomplir la tâche en question, et ce, uniquement pour la durée nécessaire. Par ailleurs, les MSP doivent également renforcer leurs pratiques de sécurité en adoptant une stratégie de défense moderne. En particulier, les données des différents clients doivent être isolées et chiffrées avec une clé unique. En outre, les identifiants utilisés par les clients sont à stocker séparément ; ce qui signifie qu’un coffre-fort central pour tous les mots de passe est à proscrire, pour y préférer une approche ZSP.
La défense contre le deuxième vecteur d'attaque s'effectue quant à elle principalement au niveau de l'infrastructure IT. Les organisations ont alors besoin d'un processus complet de gestion des changements, qui inclut la surveillance de l'intégrité des fichiers, afin de détecter les logiciels altérés. En outre, elles doivent surveiller de près toutes les connexions IP vers le monde extérieur.
D'une manière plus générale, il est essentiel que les entreprises fassent aussi preuve d'une grande rigueur en termes de gestion des risques. Elles doivent procéder à des évaluations régulières des risques liés à leurs propres systèmes informatiques et remédier aux failles de sécurité qu'elles découvrent, et exiger la même cyber-hygiène de leurs partenaires et fournisseurs. En outre, toutes les organisations devraient mettre en place une communication efficace tout au long de leur supplychain. Il s'agit non seulement de partager en détails les résultats des évaluations des risques, mais aussi les stratégies déployées en cas de compromissions ; c’est-à-dire qui va communiquer quelles informations à qui et quand.
Finalement, des mesures de sécurité existent pour se protéger contre les attaques ciblant la supplychain. De plus, elles sont également efficaces contre un large éventail de menaces. En effet, le fondement de toute stratégie de sécurité solide consiste à s'occuper des trois couches de la surface d'attaque. Les organisations ont donc tout intérêt à appliquer une telle défense.
Par Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix