Dans les secteurs des infrastructures critiques et les environnements OT, les conséquences d’une violation peuvent être particulièrement graves : pour la sécurité nationale, la société et l’économie. La réglementation se durcit pour lutter contre la menace de cybersécurité de la chaîne d’approvisionnement qui croît rapidement, et les organisations doivent renforcer leurs capacités pour assurer leur résilience.
Mais selon une étude de DNV Cyber, seule la moitié (53 %) des professionnels travaillant dans les infrastructures critiques sont convaincus que leur organisation a une visibilité complète des vulnérabilités de cybersécurité que leur chaîne d’approvisionnement expose à leur entreprise.
Plus d’un tiers (36 %) pensent que des cyber-attaquants ont pu infiltrer leur chaîne d’approvisionnement sans que les fournisseurs ne le signalent, selon une enquête menée auprès de plus de 1 150 professionnels des secteurs des infrastructures critiques, notamment l’énergie, la marine, l’industrie manufacturière et les soins de santé.
Cette situation augmente le risque de cyberattaques par le biais de réseaux, de composants, de logiciels et de fournisseurs de services tiers connectés. Les supply chain sont une cible attrayante pour les cyberattaques, car elles constituent un point d’entrée unique potentiel vers de multiples organisations et systèmes, y compris vers des infrastructures critiques.
Les adversaires changent constamment d’approche et développent des tactiques plus sophistiquées. Les trois quarts (76 %) des professionnels estiment que la formation de leur organisation en matière de cybersécurité n’est pas assez avancée pour préparer les employés à faire face à des menaces plus sophistiquées.
Parmi les récentes attaques sophistiquées et très médiatisées de la chaîne d’approvisionnement, citons le piratage de SolarWinds en 2020. Selon le gouvernement américain, le service de renseignement extérieur russe (SVR) a pénétré dans un logiciel appartenant à l’entreprise de surveillance informatique SolarWinds.
Ransomwares
Ils ont ensuite eu accès aux réseaux, aux systèmes et aux données de milliers de clients, y compris des gouvernements et des organisations d’infrastructures critiques. En 2024, une attaque contre l’un des plus grands fournisseurs de soins de santé du Royaume-Uni, Guy’s and St Thomas' NHS Foundation Trust, a visé un fournisseur de services de pathologie.L’attaque par ransomware a entraîné des retards dans les soins urgents et a conduit au report de milliers de rendez-vous de patients externes et de procédures non urgentes. Les organisations exploitant des infrastructures critiques investissent davantage dans la cybersécurité et prennent des mesures pour sécuriser les technologies de l’information et les technologies opérationnelles (OT), c’est-à-dire les systèmes qui surveillent et contrôlent les dispositifs physiques, les processus et les infrastructures.
Mais cela ne changera pas grand-chose si la cybersécurité de la chaîne d’approvisionnement d’une organisation n’est pas renforcée de la même manière, avertit DNV Cyber dans son étude. Les attaques cyber-physiques sont une préoccupation croissante, dans laquelle les attaques sur les technologies numériques ont un impact direct sur le « monde réel » des actifs physiques et des opérations.
