En matière de cybersécurité, les attaques contre la chaîne d’approvisionnement font partie des menaces les plus dangereuses. Ce n’est pas nécessairement parce qu’elles causent le plus de dégâts, mais plutôt parce qu’il est difficile de s’en prémunir de par leur nature même.
Mais qu’est-ce qu’une attaque contre la chaîne d’approvisionnement ? Et comment vous assurer que votre organisation ne risque pas d’en être la proie ? Examinons tous ces points en détail.
Définition d’une attaque de la chaîne d’approvisionnement
Une attaque contre la chaîne d’approvisionnement est une cyberattaque qui vise un fournisseur tiers dont les logiciels ou les services constituent un élément clé de la chaîne d’approvisionnement d’une organisation. Par « chaîne d’approvisionnement », nous entendons la somme collective des personnes, des logiciels, du matériel, des ressources et des autres organisations impliquées dans la mise sur le marché d’un produit, depuis sa conception jusqu’à sa livraison.
Ces attaques partent du principe qu’une chaîne est aussi solide que son maillon le plus faible. Plutôt que de s’attaquer à l’organisation principale à l’origine d’un produit, les attaques contre la chaîne d’approvisionnement recherchent des composants moins connus et souvent moins protégés liés à cette organisation. Cela permet aux cyberattaquants d’accéder à l’organisation principale par le biais du proverbial « ventre mou ».
Cela ressemble probablement à une vulnérabilité de grande envergure pour de nombreuses organisations. Malheureusement, c’est l’une des raisons pour lesquelles les attaques contre la chaîne d’approvisionnement sont si courantes et si efficaces. Comme les chaînes d’approvisionnement sont longues et souvent difficiles à suivre dans presque tous les secteurs, les attaques contre la chaîne d’approvisionnement menacent directement un nombre stupéfiant d’organisations. Toute personne qui fait appel à un fournisseur tiers – en particulier dans le domaine numérique – est potentiellement exposée à un risque.
Comment se déroule une attaque de la chaîne d’approvisonnement ?
D’une manière générale, il existe deux types d’attaques contre la chaîne d’approvisionnement.
Les attaques de la chaîne d’approvisionnement logicielles sont des cyberattaques au cours desquelles un attaquant injecte des logiciels malveillants dans une application. L’attaque se propage au fur et à mesure que d’autres éléments de la chaîne d’approvisionnement utilisent l’application en question.
Les attaques de la chaîne d’approvisionnement matérielle sont des cyberattaques lancées à partir d’un composant installé dans un appareil physique, tel que le circuit imprimé d’un ordinateur. L’attaque se propage ensuite au fur et à mesure que l’appareil infecté interagit avec d’autres appareils sur le même réseau ou sur Internet.
De ces deux types d’attaques, l’attaque de la chaîne d’approvisionnement logicielles est de loin la plus courante. Le fait que les attaques logicielles puissent être menées à distance est bien sûr un grand avantage pour les hackers, mais un facteur encore plus important est la plus grande vulnérabilité des logiciels à une violation.
La raison en est que les logiciels utilisent généralement du code réutilisé, ce qui expose plusieurs applications à des attaques si l’un de ces morceaux de code n’est pas suffisamment sûr. Il faut savoir qu’aujourd’hui, un logiciel moyen est composé à 75% de code provenant de bibliothèques à code source ouvert ou d’autres sources externes, — Si l’un de ces éléments de code réutilisé contient une vulnérabilité, c’est toute l’application finie qui devient vulnérable à une attaque de la chaîne d’approvisionnement.
Cette attaque peut se propager à d’autres composants du réseau de l’entreprise :
- Confusion de dépendance : Des acteurs malveillants enregistrent un logiciel ou un code couramment utilisé dans la conception d’applications (appelé « dépendance ») comme une version officielle avec un nouveau numéro de version. Comme le logiciel est conçu avec des vulnérabilités, toutes les applications qui l’utilisent peuvent par la suite être pénétrées par les hackers.
- Compromission des outils de développement : Les hackers s’introduisent dans un outil de développement logiciel et le modifient pour introduire des vulnérabilités dans tout logiciel développé avec cet outil. Les logiciels réalisés à l’aide de cet outil sont compromis avant même que leur production ne soit terminée.
- Certificats volés : En exploitant les faiblesses des processus cryptographiques, les hackers falsifient ou volent les certificats numériques utilisés pour vérifier l’entrée des utilisateurs sur des sites web ou des réseaux sécurisés. À partir de ce point d’entrée, ils infectent généralement le système avec des logiciels malveillants ou ajoutent un code malveillant sous couvert d’être officiel.
Il ne s’agit là que de quelques exemples de la manière dont l’intrusion peut se produire. Mais la principale différence est qu’ils se produisent tous dans un système moins protégé, puis se propagent vers d’autres composants du réseau de l’entreprise.
Impact d’une attaque sur la chaîne d’approvisionnement
Les dommages exacts causés par une attaque de la chaîne d’approvisionnement varient, mais ils sont toujours considérables. N’oubliez pas que, par nature, les attaques contre la chaîne d’approvisionnement donnent aux hackers un accès total au réseau et aux ressources d’une organisation, et qu’il n’y a donc guère de place pour des solutions de rechange.
Les logiciels malveillants (malwares)
Nous avons souvent fait référence aux malwares dans ce tour d’horizon et, franchement, même en soi, ce type de logiciel malveillant constitue une énorme menace. N’oublions pas que le terme « malwares » englobe tous les types de logiciels infectieux, y compris les virus, spywares, botnets, rootkits et ransomwares. Lorsqu’une organisation est victime d’une attaque de la chaîne d’approvisionnement, l’une ou l’ensemble de ces menaces peuvent suivre (à condition qu’elles n’aient pas été installées au moment où l’attaque a commencé).
Violations de données
Les informations confidentielles sont la mine d’or des cyberattaquants. Lorsqu’une attaque contre la chaîne d’approvisionnement réussit, il s’ensuit généralement que les pirates informatiques volent toutes les données personnelles qu’ils peuvent exploiter, qu’il s’agisse d’identifiants, de références bancaires ou de secrets d’entreprise. Et comme ces attaques sont particulièrement insidieuses et difficiles à détecter, il est presque certain qu’elles compromettront une quantité colossale de données.
Coûts monétaires
Mais tout aussi souvent, une attaque contre la chaîne d’approvisionnement aura un coût direct pour les organisations. Comme nous l’avons déjà dit, c’est souvent par ces attaques que les ransomwares s’introduisent dans les systèmes des entreprises, ce qui leur coûte directement (et très cher). Mais au-delà de cela, les logiciels malveillants issus d’une attaque de la chaîne d’approvisionnement peuvent tout aussi bien rendre le matériel ou les logiciels inopérants, rendant impossible la conduite des affaires. Comme tout gestionnaire peut vous le dire, cette interruption coûte à une organisation autant que des frais directs, en raison du temps passé à ne pas générer de bénéfices.
Exemples d’attaques contre la chaîne d’approvisionnement
Il est facile de voir dans l’abstrait qu’une attaque contre la chaîne d’approvisionnement peut avoir des conséquences dévastatrices. Mais il n’est pas nécessaire de limiter cette réflexion à l’hypothétique.
Pour s’en convaincre, il suffit de regarder quelques-unes des plus grandes cyberattaques de l’histoire.
Target
Ces piratages, qui constituent à ce jour l’une des plus grandes fuites de données aux États-Unis, ont dévasté Target, l’une des plus grandes chaînes de magasins du pays. Selon une analyse du Sénat américain, les attaques ont commencé fin 2013 par l’intermédiaire d’une petite entreprise de chauffage, de ventilation et de climatisation avec laquelle la chaîne s’était associée. Ce fournisseur tiers ne disposait que de peu de normes de cybersécurité et une fois que les hackers se sont introduits dans ses locaux, ils ont rapidement pu accéder aux serveurs principaux de Target.
Les hackers y ont trouvé un trésor de données confidentielles : Les informations personnelles de 70 millions de clients ont été divulguées lors du piratage, y compris les numéros de cartes de crédit et les numéros bancaires de 40 millions d’entre eux.
Comme si les dommages causés à la réputation de Target par l’attaque n’étaient pas assez graves, l’entreprise a également perdu 202 millions de dollars américains en frais d’exploitation (après assurance), puis 153,9 millions de dollars américains pour les règlements combinés de diverses poursuites judiciaires.
NotPetya
Bien que l’incident NotPetya de 2017 puisse être classé dans la catégorie des malwares russes, il est crucial de noter que ce piratage a pris pied dans les systèmes par le biais d’une attaque de la chaîne d’approvisionnement. Ce méchant ransomware a été capable de fermer des banques entières et même des centrales électriques, mais le patient zéro de cette infection était bien plus humble : MeDoc, un programme de comptabilité ukrainien très répandu.
En exploitant une brèche dans MeDoc, les hackers se sont introduits dans le programme et ont inséré le logiciel malveillant NotPetya dans sa dernière mise à jour. Une fois cette mise à jour diffusée, les utilisateurs de tous les secteurs ont été touchés, et de plein fouet. Si l’attaque a principalement visé l’Ukraine, elle s’est également propagée dans le monde entier et a causé des dommages d’une valeur totale de 10 milliards de dollars américains.
SolarWinds
Autre violation attribuée à des pirates russes, le piratage de SolarWinds en 2020 a donné lieu à une cyberattaque massive qui a touché de grandes entités, dont Microsoft, Intel et un grand nombre de bureaux du gouvernement américain.
Là encore, l’attaque provenait d’un fournisseur tiers – le logiciel de surveillance de réseau Orion du développeur de logiciels SolarWinds. Les hackers ont créé une porte dérobée dans Orion et, de là, ont injecté des malwares dans les réseaux de plus de 30 000 organisations publiques et privées.
L’attaque a bien sûr été choquante en raison du nombre d’entités de premier plan dont les données confidentielles ont été compromises. Le temps qu’il a fallu pour détecter le piratage est tout aussi inquiétant : 14 mois se sont écoulés avant que les personnes concernées ne s’aperçoivent de la faille, ce qui démontre une fois de plus l’ampleur des dégâts causés par une attaque de la chaîne d’approvisionnement logicielle.
Prévenir une attaque de la chaîne d’approvisionnement
La garantie la plus efficace contre les attaques de la chaîne d’approvisionnement est la confiance démontrée dans la cybersécurité de vos partenaires. Cela signifie que vous ne devez faire affaire qu’avec des organisations qui prennent au sérieux la protection en ligne – ce qui exclurait, par exemple, un hypothétique fournisseur de communications qui ignorerait une telle attaque en la considérant comme un faux positif lors des inspections de systèmes.
En ce qui concerne la protection de votre propre organisation, la mesure la plus importante à prendre est de minimiser l’accès à vos données les plus confidentielles. N’autorisez qu’un petit nombre de personnes à consulter les informations financières et les données personnelles stockées et, dans la mesure du possible, utilisez des normes de sécurité « zéro confiance » qui obligent les utilisateurs à s’authentifier chaque fois qu’ils approchent des fichiers sensibles. À plus petite échelle, l’authentification à deux facteurs et le cryptage sont également des moyens très efficaces de se protéger des regards et des oreilles indiscrets.
En raison de ces risques majeurs et d’autres encore, Wildix prend la sécurité au sérieux. Notre plateforme de communication est construite avec des protections faisant partie de son architecture inhérente, résultant en une solution qui combine le cryptage, la vérification des certificats numériques et plus encore pour un environnement secure by design qui garde les utilisateurs en toute sécurité et ce, sans SBC externe, VPN ou pare-feu.
Quelle que soit la manière dont vous mettez en œuvre vos cyberprotections, assurez-vous que votre politique ne se limite pas à votre propre maison. Comme le montrent les attaques de la chaîne d’approvisionnement, les retombées d’un partenaire mal sécurisé peuvent être tout aussi dévastatrices que de laisser les portes de votre organisation grandes ouvertes.
Pour plus de conseils marketing, inscrivez-vous pour recevoir gratuitement notre magazine !