Les attaquants ont toujours cherché le maillon le plus faible de la chaîne pour percer une défense. Cela n'a pas changé dans le monde des affaires hautement numérisé d'aujourd'hui et inclut également la chaîne d'approvisionnement de l'industrie des fournisseurs. Les fournisseurs ont souvent accès aux systèmes internes de leurs clients, et un piratage de fournisseurs apparemment insignifiants peut signifier pour les groupes de pirates l'entrée dans le réseau d'une entreprise mondiale.
Les attaques via la chaîne d'approvisionnement des logiciels sont encore plus courantes et ont des effets encore plus dramatiques. Ainsi, au lieu d'attaquer directement l'entreprise ciblée, les cybercriminels ciblent leurs distributeurs de logiciels. Ils identifient les opérateurs ayant des pratiques de sécurité inadéquates afin d'injecter du code malveillant dans un composant logiciel digne de confiance. Avec la prochaine mise à jour, ils ont atteint leur objectif : dans le réseau de la grande entreprise.
Attaques explosives de la chaîne d'approvisionnement en 2023
Les incidents récents l'ont montré clairement : dans le cadre des progrès mondiaux de la numérisation, les attaques de la chaîne d'approvisionnement ont pris de nouvelles dimensions et créent un tout nouveau point de départ en matière de cybersécurité. Ils signifient un constat désagréable pour les entreprises : le maillon le plus faible de la chaîne est souvent en dehors de leur structure de sécurité et donc hors de leur contrôle. En compromettant un seul fournisseur, les attaquants peuvent transformer chaque application ou mise à jour logicielle vendue en cheval de Troie. Un grand fournisseur de services peut infecter sans le savoir des milliers d'entreprises avec une seule mise à jour. Ce haut niveau d'efficacité a rendu les attaques de la chaîne d'approvisionnement extrêmement populaires auprès des cybercriminels. La menace d'attaques de la chaîne d'approvisionnement représente aujourd'hui un risque important pour les entreprises modernes, et les dommages financiers peuvent être énormes - de la perte de production aux efforts nécessaires pour enquêter sur l'incident de sécurité, en passant par les pertes dues à l'atteinte à la réputation et aux amendes réglementaires.
Des objectifs attractifs
L'un des exemples les plus dévastateurs est l'attaque de la chaîne d'approvisionnement de 2020 contre la société de logiciels SolarWinds, qui a touché diverses organisations, y compris le gouvernement américain. Étant donné que le système de surveillance informatique proposé est largement utilisé et, de plus, bénéficie d'un accès privilégié aux systèmes informatiques pour obtenir des données de journalisation et de performances du système, cela a fait de SolarWinds une cible attrayante pour les attaquants.
Un autre cas grave a été l'attaque de la chaîne d'approvisionnement contre le fournisseur de services informatiques Kaseya en juillet 2021, dans laquelle un ransomware a finalement été déployé via une mise à jour logicielle manipulée et a touché environ 1.500 800 entreprises dans le monde. L'une des victimes les plus connues en Europe a été la chaîne de supermarchés Coop-Suède, qui a dû fermer temporairement XNUMX de ses magasins en raison de la défaillance d'un fournisseur de services de paiement pour leurs systèmes de caisse.
La récente cyberattaque de la chaîne d'approvisionnement de Toyota en mars 2022, qui a paralysé un tiers de la production mondiale de l'entreprise, a démontré à quel point la chaîne d'approvisionnement des entreprises industrielles d'aujourd'hui est vulnérable. Par exemple, le constructeur automobile japonais a dû arrêter les 28 lignes de production de ses 14 usines nationales après qu'un fournisseur clé a été touché par une défaillance du système informatique causée par une cyberattaque.
Zero Trust
Alors que les attaques sur la chaîne d'approvisionnement en logiciels deviennent de plus en plus sophistiquées, elles peuvent être contenues. Renoncer aux mises à jour n'est pas une option, mais les entreprises doivent comprendre que même les fournisseurs les plus fiables ne sont pas à l'abri des intrusions et des violations. Par conséquent, les responsables de la sécurité doivent aller au-delà des évaluations traditionnelles des risques des fournisseurs. Le principe de "zéro confiance" s'applique même aux logiciels standards des grands fabricants. Chaque application sur chaque appareil doit être surveillée en permanence, à la fois au niveau du terminal et au niveau du réseau. Cela ne devient apparent que lorsqu'une application modifie son comportement habituel et, par exemple, cherche à accéder à d'autres applications, envoie des données à travers la frontière du réseau ou recharge des fichiers à partir de sources jusque-là inconnues.
Afin d'appliquer un modèle de confiance zéro, les entreprises doivent s'assurer que les droits d'accès sont attribués et gérés de manière adéquate. Dans de nombreuses organisations, les employés, les partenaires et les applications logicielles disposent de privilèges inutilement élevés qui facilitent le lancement d'attaques sur la chaîne d'approvisionnement. Par conséquent, le principe du moindre privilège doit être suivi ici, dans lequel les employés et les logiciels ne se voient attribuer que les autorisations dont ils ont réellement besoin pour effectuer leurs tâches. Il n'y a plus de carte blanche : tout accès à d'autres ressources est contrôlé.
Mesures éprouvées
Les mesures de contrôle d'accès éprouvées incluent l'authentification multifacteur (MFA) et la segmentation du réseau. Cela empêche les logiciels tiers d'avoir un accès illimité à tous les coins du réseau, construit des murs de défense contre les attaques et limite ainsi le succès des attaques. Si une attaque de la chaîne d'approvisionnement affecte une partie du réseau, le reste reste protégé.
Afin d'évaluer la conformité et les processus des fournisseurs de logiciels qu'ils utilisent, les entreprises doivent également envoyer régulièrement des questionnaires de sécurité. Il s'agit de s'assurer qu'ils suivent les meilleures pratiques pour éviter toute altération du code.
Les entreprises ne disposent que de moyens limités pour se défendre contre une mise à jour manipulée de logiciels légitimes. Avec une approche zéro confiance et un contrôle étroit par les analystes de la sécurité sous la forme de services Cyber Defense Center (CDC-as-a-Service) ou de solutions technologiques CDC telles que Radar Solutions, une attaque est rapidement remarquée et les conséquences de la l'attaque devient locale limitée. Attention : la cybercriminalité n'est aussi lucrative et réussie que tant que vous le permettez.
Plus sur RadarCyberSecurity.com
À propos de Radar Cyber Security Radar Cyber Security exploite l'un des plus grands centres de cyberdéfense d'Europe au cœur de Vienne, basé sur la technologie propriétaire Cyber Detection Platform. Poussée par la forte combinaison d'expertise et d'expérience humaines, associée aux derniers développements technologiques issus de dix années de travail de recherche et développement, la société combine des solutions complètes pour les défis liés à la sécurité informatique et OT dans ses produits RADAR Services et RADAR Solutions.