Le niveau de sécurité d’une chaîne dépend du maillon le plus faible rappelle la société SoSafe dans son dernier livre blanc. Il ne sert à rien, pour une entreprise, d’avoir la meilleure des postures de sécurité si celle d’au moins l’un de ses partenaires n’est pas à la hauteur. Un constat que toutes les études de cybersécurité confirme :
le « Cyber Report 2021 » d’Allianz remonte une hausse constante des attaques visant la chaîne d’approvisionnement ; la société Anchore confirme le fait en affirmant même qu’une société sur 5 serait victime d’une attaque de ce type. Et, toujours selon le livre blanc émis par SoSafe, le cyberattaquant a accès non pas à une société mais à tout le portefeuille clients de la chaîne d’approvisionnement qu’il aura vérolée.
Les facteurs d’attaques sont multiples mais ils relèvent la plupart du temps de l’ingénierie sociale comme le rappelle l’édition 2022 du Data Breach Report de Verizon en attribuant à hauteur de 82% l’origine d’une attaque au facteur humain. Que ce soit du spear phishing, du vishing, du smishing, du typosquattage ou autres, ils ont tous pour vocation d’abuser l’humain comme le rappelle l’ENISA (agence de l’union européenne pour la cybersécurité) dans son dernier rapport dédié au paysage des menaces relatives aux chaînes d’approvisionnement.
Schéma d’attaque
La chaîne d’approvisionnement des entreprises est le moyen idéal pour une attaque car la plupart du temps, les partenaires sont des PME voire des TPE. Des sociétés de taille modeste dans lesquelles l’activité business focalise toute leur attention. Avec de faibles moyens tant en budget que compétence, difficile pour elles de mettre sur pied une stratégie de cybersécurité de haut vol.La méthode varie peu même si la technicité des attaques se complexifie, après une première approche via de l’ingénierie sociale, les cyberattaquants entrent dans le système d’information du partenaire en utilisant des vecteurs d’attaque classiques : infection via un logiciel malveillant, récupération des accès (par force brute ou autre), tout cela se fait en même temps que la découverte des éléments du SI ce qui permettra ensuite d’attaquer ces éléments via des vulnérabilités connues. Avec le secret des accès récupéré, il est possible d’entrer dans les SI des clients cette fois et de s’y déployer de la même façon, d’y envoyer naturellement des rançongiciels pour les faire chanter ou de tout simplement y installer des portes dérobées et chevaux de Troie pour espionner et dérober en silence des secrets business.
De nombreuses cyberattaques réussies rappellent à quel point, tout le monde peut être demain victime : de Kaseya à SolarWinds en passant par Maersk pur ne citer que les plus médiatisées. Pour SoSafe, outre les mesures de sécurité classiques (SIEM, principe du Zero Trust, EDR …) la formation pour sensibiliser est l’une des clés pour prévenir ce genre d’attaque car l’ingénierie sociale est très souvent le point de départ de telles attaques. Pour cette entreprise, un manuel ou des slides ne suffisent pas à modifier le comportement humain de manière durable alors qu’une formation pourrait être source de nouveaux réflexes chez les collaborateurs : « Il est important que tous les collaborateurs d’un organisme, quelle que soit sa position professionnelle, reçoivent une formation adaptée au contexte de l’organisme pour mieux lutter contre les cyberattaques. Le facteur humain est encore aujourd’hui, à hauteur de 90% à l’origine des cyberattaques. »
Pour télécharger le livre blanc, cliquez ici