Pour tenter de pénétrer un réseau informatique, les hackers visent toujours le maillon plus faible. Et la digitalisation de la chaîne d’approvisionnement (Supply Chain) en a fait une cible de choix depuis quelques années.
Supply chain, le maillon faible de la cybersécurité ?
Le phénomène semble s’être amplifié durant la période de pandémie comme en témoignent diverses études : BlueVoyant estime que 97% des entreprises ont été impactées par une violation de cybersécurité ciblant leur chaîne d’approvisionnement, tandis que Trend Micro montre dans une étude qu’une entreprise mondiale sur deux (52 %) a déjà relevé une attaque par rançongiciel au sein de l’organisation de sa chaîne d'approvisionnement.
Pourquoi est-elle si difficile à sécuriser ?
En soi, une attaque au niveau de la chaine d’approvisionnement n’a rien de nouveau. La difficulté réside dans le fait de parvenir à la maitriser en raison du grand nombre d’outils, de logiciels et de services qui composent l’organisation d’une entreprise. D’où l’importance, pour faire face aux menaces, de sécuriser de manière coordonnée et simultanée l’ensemble des maillons de la supply chain afin qu’aucun participant de l’écosystème ne soit le ‘maillon faible’ ciblé par les hackers.
Il s’agira donc de faire prendre conscience à certains prestataires, en particulier ceux qui estiment ne pas détenir d’informations sensibles et donc rechignent à faire l’effort, qu’ils menacent l’ensemble la chaîne. Ce sont souvent les petites structures qui se sentent moins concernés ou ne disposent pas des budgets et outils nécessaires.
Prévenir et évaluer : l’importance des audits
En réaction, les grandes entreprises ont souvent réagi de manière contractuelle, même si l’ajout d’une clause contractuelle ne constitue pas un rempart face à une attaque cyber. D’autres soumettent leurs prestataires à une série de questionnaires qui restent toutefois déclaratifs et donc peu fiables – surtout si l’on considère que la personne qui répond n’a peut-être ni le temps ni les compétences pour répondre sur l’ensemble des points évoqués dans le questionnaire.
En outre, évaluer la sécurité de ses partenaires reste coûteux et chronophage. Les plus grandes entreprises vont procéder à un audit par le RSSI – ou confier cet audit à un cabinet indépendant – en se focalisant souvent sur ses principaux fournisseurs. Cette méthode paraît néanmoins plus difficile à décliner lorsque l’entreprise compte plusieurs dizaines de fournisseurs.
Les audits restent la meilleure manière de vérifier la véracité de ce qui a été déclaré dans les questionnaires. Et mieux vaut les mener de manière aléatoire et proactive. Or, ils sont trop souvent menés selon un calendrier prédéfini, sans forcément tenir compte de l’évolution du paysage des menaces.
Enfin, retenir des fournisseurs certifiés ISO 27001 et des solutions labellisées par l’ANSSI représentera une démarche plus sûre en termes de cybersécurité.
Garder les bons réflexes
Pour la direction informatique, les menaces qui pèsent sur la Supply Chain ne sont pas différentes de celles qui pèsent sur les autres infrastructures informatiques. En appliquant les bonnes méthodes -qu’il s’agisse de mise à jour régulière des logiciels et des correctifs, de protocoles sécurisés par des identifiants forts, de politiques Zero Trust, etc – elle doit être en mesure de garantir une sécurité avancée.
Pour la renforcer davantage, elle veillera à optimiser sa visibilité globale sur l’ensemble des opérations qui concernent son réseau. Ainsi, lorsqu’une entreprise collabore avec de nouveaux partenaires ou qu’elle s’implante sur un nouveau marché, elle doit veiller à pouvoir conserver une excellente transparence et visibilité sur l’ensemble de son réseau.
Souvent, les systèmes en amont sont confrontés à des incidents de sécurité qui exposent le réseau d’une entreprise. Pour prévenir tout risque de violation des données, le cryptage des données à la source représente aujourd’hui la meilleure protection. L’entreprise doit donc vérifier que chaque système connecté respecte les meilleures pratiques de sécurité.
En conservant les lignes de communications ouvertes avec les systèmes en amont, l’entreprise peut surveiller les événements de sécurité et prendre les mesures nécessaires pour faire face en cas d’attaque. Il sera également intéressant d’automatiser les alertes de sécurité et de maintenir une communication constante en cas de crise pour une meilleure réaction coordonnée. Pour parvenir à mettre en œuvre ces normes, l’entreprise devra veiller à les faire approuver par l’ensemble de ses fournisseurs et systèmes tiers.
Enfin, il convient de surveiller l’ensemble des points d’entrée du réseau. Si un accès sécurisé par un VPN constitue une exigence minimum de nos jours, il est possible de se projeter dans l’étape suivante et tirer parti de l’analyse des données pour surveiller l’activité des tiers sur le réseau de l’entreprise et détecter la moindre anomalie pour se montrer le plus réactif possible.
Si un outil de surveillance ne peut pas être considéré comme un logiciel de sécurité à proprement parler, il représente néanmoins une brique importante du concept de sécurité globale. En surveillant le bon fonctionnement et les actualités des pares-feux et des antivirus, la surveillance est en mesure de détecter une activité inhabituelle au sein du réseau et ainsi éventuellement de découvrir des attaques de logiciels malveillants. Elle joue également un rôle important dans le concept de confiance zéro, par exemple lorsqu'il s'agit de surveiller l'état des appareils.
Une supervision centralisée
Les équipes de cybersécurité s'appuient sur un vaste réseau d'outils pour surveiller leurs réseaux. En centralisant le reporting via une solution de centre d'opérations de sécurité (SOC) ou équivalent, elles pourront classer facilement les menaces et les risques liés au réseau et ainsi hiérarchiser leur réponse aux incidents de sécurité en évaluant le risque lié à un actif compromis. Par exemple, une violation des données d'un client est-elle plus risquée qu'une attaque de logiciels malveillants sur une petite partie du réseau ? Classez chaque actif réseau et chaque point d'extrémité en fonction du risque et surveillez-les en conséquence.
Un outil de reporting centralisé peut donner le contexte d'un point de vue organisationnel et aider l’entreprise à traiter plus rapidement les causes profondes.
Sécuriser la supply chain est un défi en raison du flux constant de données auquel les systèmes sont soumis. Face à l’évolution constante des menaces, une approche dynamique coordonnées avec l’ensemble des partenaires de l’entreprise, doit permettre de réduire les menaces auxquelles l’entreprise se trouve exposée.