Dans un environnement multi connecté, où les cybercriminels ne cessent de développer de nouvelles méthodes et techniques pour mener à bien leurs attaques, la question de la confiance dans la sécurité des prestataires est devenue cruciale. Il s’agit indéniablement d’une priorité absolue pour les RSSI car, selon l’Analyse du Risque Humain, 8 RSSI français sur 10 ont déclaré que la sécurité de leur organisation était de plus en plus tributaire de celle de leurs partenaires et fournisseurs.
Alors que l’économie numérique est en plein essor et que les entreprises sont de plus en plus dépendantes de nombreux services et logiciels, ce phénomène ne peut aller qu’en s’amplifiant. Gartner prévoit d’ailleurs que, d’ici 2025, 45 % des organisations dans le monde seront victimes d'attaques contre leur chaîne d’approvisionnement numérique, soit trois fois plus qu’en 2021.
Il est donc nécessaire que les entreprises saisissent la gravité de cette menace et s’assurent que les normes de sécurité sont respectées dans l’ensemble de leur chaîne d’approvisionnement. Encore faut-il qu’elles se tiennent continuellement informées des dernières tendances en la matière. Voici un état des lieux des méthodes les plus couramment employées par les cybercriminels, ainsi que quelques conseils pour permettre aux entreprises d’y faire face :
1. Infections par malware
La plupart des attaques des chaînes d’approvisionnement commencent par une infection par malware. Selon notre dernière étude, 41 % des entreprises françaises interrogées ont connu au moins une attaque réussie de ce genre, ce qui en fait le risque numéro un pour les sociétés.Dans le cadre de ces attaques, les cybercriminels injectent discrètement, dans les systèmes d’une entreprise, un logiciel malveillant qui se propagera ensuite lentement dans toute la chaîne d’approvisionnement. Il existe différents types de malwares qui exécutent eux-mêmes plusieurs types d’opérations. Les spywares ont, par exemple, pour mission de surveiller les activités des employés et de récupérer leurs identifiants confidentiels. Quant aux ransomwares, ils servent à collecter et à chiffrer des données contre lesquelles les cybercriminels pourront ensuite exiger des rançons. Enfin, les portes dérobées (cheval de Troie, par exemple) permettent de contrôler des programmes à distance et servent parfois de point de départ à une attaque de la chaîne d’approvisionnement. Ces infections par malware exploitent les failles de sécurité et autres vulnérabilités déjà présentes dans la chaîne d’approvisionnement.
2. Vulnérabilités logicielles
Aucun logiciel n’est parfait. Les éditeurs testent leurs produits de manière approfondie, mais il n’existe aucune garantie de sécurité absolue. Les cybercriminels recherchent des vulnérabilités qu’ils peuvent exploiter et n’ont bien souvent besoin que d’une petite faille non identifiée pour mener à bien des attaques « zero-day » (manipulation et exécution de mises à jour, par exemple).L’attaque par ransomware du logiciel de transfert sécurisé « MOVEit » a parfaitement illustré ce principe. Des entreprises telles que Shell, des banques américaines, des compagnies d’assurance ou encore des universités ont été touchées et la liste ne cesse de s’allonger.
Cette tendance prouve clairement que les pirates peuvent demeurer longtemps incognito au sein des systèmes. Elle démontre aussi la vitesse – et l’ampleur – avec lesquelles les malwares se propagent dans une chaîne d’approvisionnement.
3. Ingénierie sociale
Les attaques ne ciblent pas uniquement les technologies. Les humains sont eux aussi constamment mis à rude épreuve par les cybercriminels. Dans le cas de l’ingénierie sociale, les pirates jouent sur les émotions humaines, comme la confiance ou la peur, pour inciter les victimes à divulguer des informations confidentielles, à désactiver des fonctionnalités de sécurité ou à installer des malwares à leur insu.L’essor du télétravail et des formes de travail hybride offre de nouvelles opportunités aux cybercriminels pour parvenir à leurs fins : un danger de plus pour les entreprises et leurs partenaires qui choisissent d’adopter ce modèle.
En effet, selon l’un de nos sondages, les employés en télétravail cliquent trois fois plus souvent sur des e-mails de phishing, que leurs collègues au bureau. Ce phénomène s’explique par de nombreuses raisons, notamment par le manque de communication au sein des équipes en distanciel qui les rend plus vulnérables aux techniques d’ingénierie sociale, en particulier courriels de type phishing.
4. Attaques par force brute
Les cybercriminels utilisent également des attaques dites « par force brute » pour faire main basse sur des données sensibles telles que les identifiants de connexion à des systèmes internes. Ces attaques sont menées par tâtonnement. Concrètement, les cybercriminels testent une multitude de possibilités pour déchiffrer le mot de passe d’un employé. Ils se servent pour cela d’outils permettant de tester automatiquement toutes les combinaisons possibles. Une fois le mot de passe deviné, ils peuvent facilement injecter un malware dans les systèmes de l’entreprise.5. Le rôle de la sensibilisation
La grande diversité des attaques montre que les violations de sécurité et l’exploitation de vulnérabilités peuvent avoir de graves conséquences pour les entreprises. En dépit – ou peut-être à cause – des nombreux outils de sécurité utilisés aujourd’hui, les cybercriminels essayent de jouer sur les émotions des employés avec de plus en plus d’insistance afin d’accéder aux systèmes internes des entreprises.Il est donc important d’impliquer davantage les collaborateurs dans des stratégies de cybersécurité cohérentes afin de réduire le risque d’attaque à tous les niveaux, y compris au sein de la chaîne d’approvisionnement. Chaque employé doit être sensibilisé et encouragé à redoubler de vigilance face aux différents modes d’attaque des pirates.
Cependant, une simple formation ponctuelle ne suffit pas. Les connaissances acquises de façon passives sont rarement appliquées et restent parfois difficiles à retenir. En revanche, des formations sur le long terme qui impliquent activement l’employé par des exercices pratiques et des simulations réalistes, favorisent l’acquisition de bonnes habitudes. La gamification de ce type de formation est cruciale.
Si, au travers de simulations, les employés apprennent comment réagir en cas d’urgence, ils sauront quoi faire lorsque la situation se présentera réellement. La sensibilisation constitue donc une étape majeure pour la cybersécurité de toute l’entreprise.
Par Niklas Hellemann, PDG de SoSafe