Contrairement à ce que l'on pourrait croire, les pirates informatiques sont réputés pour leur paresse. Ils préfèrent viser des gains importants avec un minimum d'efforts. Et le secret réside dans les cibles qu'ils choisissent. Le modèle RaaS (Ransomware as a Service) est un exemple classique de leur efficacité maximale en matière de cybercriminalité. Les attaques contre la chaîne d'approvisionnement ont été inventées peu après et se sont répandues au point de paralyser les infrastructures dans le monde entier. Même l'ancien président américain Joe Biden a été surpris et a fini par émettre un décret à l'intention des entités gouvernementales, ordonnant une réforme des normes de cybersécurité de la chaîne d'approvisionnement dans tout le pays.
Mais trêve de bavardages. Qu'est-ce qui rend les attaques contre la chaîne d'approvisionnement si particulières ? Pourquoi sont-elles si dangereuses ? Pourquoi devriez-vous vous en préoccuper ? Comment prévenir les attaques contre la chaîne d'approvisionnement ? Si vous ne pouvez pas encore répondre à ces questions, poursuivez votre lecture. Nous vous donnerons bientôt la réponse. 
Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?
Une attaque de la chaîne d'approvisionnement est une attaque de cybersécurité qui recherche les faiblesses de votre chaîne d'approvisionnement. Une chaîne d'approvisionnement combine des technologies, des personnes, des ressources, des produits, des utilisateurs et des activités organisationnelles. Elle assure la cohésion de votre organisation, et ces composants permettent à votre entreprise de fonctionner.
Lorsque des perturbations soudaines surviennent dans les flux de travail existants ou que quelque chose endommage votre entreprise, il peut s'agir d'une menace pour la chaîne d'approvisionnement. Les attaques de la chaîne d'approvisionnement recherchent les vulnérabilités de votre chaîne d'approvisionnement et cherchent des opportunités chez les fournisseurs pour exploiter les faiblesses en matière de sécurité. Les fournisseurs travaillent avec des données partagées, donc s'ils sont piratés, les utilisateurs et toutes les personnes associées à eux sont également affectés.
Lorsque votre chaîne d'approvisionnement s'agrandit, votre réseau s'étend. Ainsi, en cas d'attaque, plusieurs cibles sont créées et compromises.
Comment fonctionnent les attaques de la chaîne d'approvisionnement ?
Les attaques de la chaîne d'approvisionnement consistent à détruire les relations de confiance. Au lieu de cibler directement l'entreprise elle-même, elles visent les fournisseurs et les prestataires avec lesquels une organisation travaille. Les attaques de la chaîne d'approvisionnement basées sur des logiciels peuvent injecter du code malveillant dans les dernières bibliothèques, mises à jour et composants afin de compromettre les certificats de sécurité et les outils de construction.
Les attaques de la chaîne d'approvisionnement basées sur du matériel peuvent perturber les processus de fabrication et de distribution en injectant des logiciels malveillants ou des composants d'espionnage. Certaines attaques de la chaîne d'approvisionnement peuvent exploiter des vulnérabilités telles que des faiblesses dans les pipelines de construction, les jetons d'accès et les secrets codés en dur. Elles peuvent escalader les privilèges et tenter de provoquer des mouvements latéraux à travers les réseaux.
L'attaque de la chaîne d'approvisionnement SolarWinds est un exemple classique du fonctionnement de ces menaces. Les attaquants avaient accédé aux serveurs de construction d'une entreprise et injecté une porte dérobée dans ses mises à jour. Dans un autre cas, des attaquants ont compromis un fournisseur de services gérés et infecté plusieurs organisations avec un ransomware.
Comment détecter les attaques de la chaîne d'approvisionnement ?
Il n'est pas possible de détecter les attaques de la chaîne d'approvisionnement en utilisant une seule méthode ou technologie. Les organisations devront combiner différentes approches et utiliser les dernières techniques de détection des menaces basées sur l'IA pour améliorer efficacement leur capacité à détecter et à atténuer ce type de menaces.
Elles doivent recourir à une surveillance continue, à des renseignements mondiaux sur les menaces et à une posture de sécurité proactive, autant d'éléments essentiels pour se défendre contre les attaques visant la chaîne d'approvisionnement.
Il est essentiel d'obtenir une visibilité en temps réel sur les réseaux, de surveiller en permanence le trafic réseau et de doter les équipes de sécurité des moyens nécessaires pour réagir rapidement à ces incidents et à toute autre activité suspecte. Voici quelques moyens de détecter les attaques visant la chaîne d'approvisionnement : Certaines attaques peuvent exploiter des failles dans la gestion des dépendances. Les attaquants peuvent enregistrer des paquets portant des noms identiques ou similaires à ceux de modules internes, mais avec des numéros de version supérieurs. Lorsque les développeurs téléchargent ces paquets externes à leur insu, le code malveillant est introduit dans le logiciel. Même la gestion courante des paquets peut constituer un maillon faible si les référentiels externes ne sont pas soigneusement contrôlés et surveillés.Les attaquants peuvent obtenir les clés privées utilisées pour la signature du code. Ils peuvent signer numériquement des logiciels malveillants avec ces clés, leur donnant ainsi une apparence fiable. Cela sape la garantie offerte par les certificats de signature traditionnels. Les mécanismes de confiance, tels que les certificats de signature de code, ne sont aussi sûrs que les processus qui protègent leurs clés privées.
Les systèmes modernes de détection et de réponse réseau (NDR) peuvent surveiller les écarts par rapport au comportement normal. Les modèles d'apprentissage automatique peuvent apprendre les flux de données typiques de votre réseau. Tout changement soudain, même si le trafic est crypté, doit déclencher des alertes. Vous pouvez utiliser des modules de sécurité matériels (HSM) ou des solutions similaires pour protéger les clés privées. Au-delà de ces mesures, commencez à effectuer régulièrement des examens et des audits de sécurité. Organisez des exercices simulant des attaques de la chaîne d'approvisionnement et assurez-vous que votre équipe est capable de réagir rapidement et de détecter de tels incidents.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusMeilleures pratiques pour prévenir les attaques de la chaîne d'approvisionnement
Vous pouvez maîtriser la manière de prévenir les attaques de la chaîne d'approvisionnement en mettant en œuvre les tactiques suivantes :
Commencez à utiliser des jetons Honey
Ces jetons fonctionnent comme des fils pièges et alertent les organisations de toute activité suspecte sur les réseaux. Les jetons Honey sont de fausses ressources qui contiennent des données sensibles. Les attaquants peuvent penser qu'il s'agit de cibles authentiques et interagir avec elles. Chaque fois qu'un événement se produit, le jeton Honey déclenche des alertes concernant une tentative d'attaque suspecte. Il avertit les organisations des violations de données et leur révèle les détails concernant ces attaquants et leurs méthodes d'attaque.
Gestion sécurisée des accès privilégiés
Les cyberattaquants ont tendance à se déplacer latéralement sur les réseaux après avoir obtenu un accès privilégié à leurs comptes. Ils tentent d'étendre leurs privilèges et d'accéder à des ressources plus sensibles. Cette voie d'attaque est également appelée " voie privilégiée ". Il s'agit d'une trajectoire d'attaque typique. Vous pouvez utiliser un cadre de gestion des accès privilégiés pour perturber ce modèle d'attaque et réduire les risques d'une nouvelle menace. Cela peut vous aider à sécuriser vos défenses internes et externes. Appliquez des politiques de contrôle d'accès granulaires et testez le fournisseur avec lequel vous travaillez. Mettez à jour l'inventaire, les pratiques et les politiques de gestion des actifs de votre entreprise, et effectuez les mises à jour et les mises à niveau de sécurité.
Sensibilisez votre personnel
Les employés et les membres du personnel de votre organisation sont les principales cibles des menaces pesant sur la chaîne d'approvisionnement. Ils doivent savoir comment fonctionnent les injections de code malveillant et se méfier des derniers e-mails frauduleux et tentatives de phishing. Les auteurs de menaces leur envoient des e-mails qui semblent provenir de collègues de confiance et leur demandent d'activer un code malveillant ou tentent de voler leurs identifiants de connexion internes. Si les membres du personnel sont sensibilisés aux méthodes d'attaque courantes, y compris aux techniques d'ingénierie sociale, ils pourront identifier et signaler ces violations. Ils ne se laisseront pas piéger et sauront exactement comment agir ou faire face à ces menaces.
Utilisez une solution de gestion des identités et des accès (IAM)
Vous devez crypter toutes les données internes et utiliser des normes telles que l'algorithme Advanced Encryption Standard afin de compliquer la tâche des criminels qui cherchent à créer des portes dérobées pour exfiltrer des données lors d'attaques de la chaîne d'approvisionnement. Le gouvernement américain utilise également la technique de cryptage AES pour se protéger. Vous devez également vous concentrer sur la mise en œuvre d'une architecture " zero trust " et partir du principe que toutes les activités réseau sont malveillantes par défaut. Ne faites confiance à personne, vérifiez tout le monde. Chaque demande de connexion doit passer par une liste de politiques strictes. Et votre moteur de politiques doit décider si le trafic réseau doit être autorisé à passer. Il doit le faire passer par toutes les règles définies par l'algorithme de confiance. Et l'administrateur des politiques sera chargé de communiquer ses décisions et ses modifications.
Il est tout aussi important d'adopter naturellement un état d'esprit qui suppose une violation. Dans ce cas, vous partirez du principe qu'une violation s'est produite et agirez en conséquence. Cela vous aidera à déployer des stratégies de cyberdéfense actives sur tous les vecteurs d'attaque vulnérables. Les trois surfaces d'attaque présentant le risque de compromission le plus élevé sont les processus, les personnes et les technologies. Une bonne formation à la cyber-sensibilisation est l'un des piliers fondamentaux de la protection et de la lutte contre les attaques de la chaîne d'approvisionnement.
Exemples concrets d'attaques de la chaîne d'approvisionnement
Voici quelques exemples concrets d'attaques de la chaîne d'approvisionnement dont il faut tirer des leçons :
1. Violation des données de Target
Vous souvenez-vous de la chaîne de supermarchés américaine Target ? Les informations relatives aux cartes de crédit de ses clients ont été volées lors d'une violation de données vers 2013. Même si cela remonte à longtemps, Target est devenu l'un des exemples les plus notoires au monde d'attaques de la chaîne d'approvisionnement.
Que s'est-il passé ? Un logiciel malveillant a été implanté dans les systèmes de Target.
Comment est-il entré ? Par l'intermédiaire de leur fournisseur de systèmes de climatisation, Fazio Mechanical Services.
Le résultat ? 18,5 millions de dollars de dommages et intérêts, le vol de 40 millions de données de cartes de crédit et de débit, et des dommages considérables à la réputation.
2. Le piratage de CCleaner en 2017
Les pirates ont directement ciblé leurs serveurs et remplacé le logiciel d'origine par des copies malveillantes. Le code a été diffusé à 2,3 millions d'utilisateurs qui ont téléchargé et installé les mises à jour des fichiers. Ils ne s'en sont pas rendu compte et ont été gravement infectés.
Qu'aurait-on pu faire ? CCleaner aurait pu empêcher le problème de s'aggraver en publiant simplement un correctif avant que cela ne se produise. Un incident similaire s'est produit avec le ransomware WannaCry, pour lequel un correctif avait été publié avant l'attaque, mais n'avait pas été appliqué à temps à tous les utilisateurs finaux.
Conclusion
Les attaques de la chaîne d'approvisionnement font partie des menaces de sécurité les plus importantes que les organisations ne peuvent ignorer. En suivant les étapes décrites dans cet article, du déploiement de honey tokens et du renforcement des accès privilégiés à la formation des employés et à l'architecture zero-trust, vous pouvez minimiser votre exposition à ces attaques avancées.
La sécurité de la chaîne d'approvisionnement doit être proactive, car les attaquants inventent constamment de nouvelles méthodes. En analysant régulièrement l'ensemble de votre chaîne d'approvisionnement à la recherche de vulnérabilités, à l'aide de contrôles de sécurité à jour et de nouvelles solutions de sécurité telles que SentinelOne, vous éviterez à votre entreprise de faire la une des journaux pour une violation de données.
"FAQs
Il existe une infinité de types d'attaques de la chaîne logistique. Les attaques logicielles introduisent du code malveillant dans des mises à jour ou des logiciels légitimes. Les attaques matérielles exploitent le matériel pendant la production. Les attaques par des tiers ciblent les fournisseurs qui ont accès à vos systèmes. Les attaques par signature de code utilisent des signatures numériques falsifiées pour donner une apparence légitime aux logiciels malveillants. Chacune d'entre elles exploite différentes vulnérabilités de votre chaîne d'approvisionnement et nécessite des mesures de sécurité différentes pour y remédier.
Les pirates informatiques trouvent le maillon faible de votre chaîne d'approvisionnement, souvent des fournisseurs plus petits et moins sécurisés. Ils attaquent ces fournisseurs, puis exploitent leur accès légitime pour atteindre leurs cibles principales. Ils peuvent interférer avec les mises à jour logicielles, insérer des portes dérobées dans les environnements de développement ou voler les identifiants de fournisseurs de services tiers. Une fois à l'intérieur, ils commencent à se déplacer latéralement, à élever leurs privilèges au niveau des actifs de valeur ou à déployer des ransomwares.
Surveillez le trafic réseau à la recherche de modèles suspects. Mettez en œuvre des analyses comportementales pour détecter les modèles suspects par rapport aux opérations habituelles. Auditez régulièrement les processus de sécurité des fournisseurs et intégrez des exigences de sécurité explicites. Mettez en œuvre un logiciel avancé de détection des terminaux sur votre réseau. Utilisez des systèmes d'intelligence artificielle pour rechercher les menaces potentielles en temps réel. Vérifiez l'intégrité des mises à jour logicielles avant leur installation. Mettez en place un centre d'opérations de sécurité avec une surveillance 24 heures sur 24, 7 jours sur 7.
Isolez immédiatement les systèmes compromis afin d'empêcher tout mouvement latéral. Activez votre équipe d'intervention en cas d'incident afin d'identifier l'étendue de la violation. Identifiez le vecteur d'attaque et le composant de la chaîne d'approvisionnement affecté. Informez les fournisseurs et les clients concernés, conformément à la réglementation. Conservez les preuves médico-légales à des fins d'analyse. Appliquez des contre-mesures afin d'empêcher des attaques similaires. Restaurez les systèmes à partir de sauvegardes connues et saines. Mettez à jour et ajustez les politiques de sécurité en fonction des leçons apprises.
Tout d'abord, mettez la violation en quarantaine en isolant les systèmes affectés. Localisez le point de compromission au sein de votre chaîne d'approvisionnement. Collaborez avec des experts en sécurité pour supprimer le code malveillant. Informez les parties prenantes conformément aux exigences de conformité. Restaurez les systèmes en ligne à partir de sauvegardes propres. Documentez l'incident en détail. Mettez en place des procédures de vérification plus rigoureuses pour les fournisseurs. Envisagez de mettre en place des notations de sécurité pour les fournisseurs. Revoyez les contrats afin d'y ajouter des exigences de sécurité plus strictes.
Les attaques de la chaîne d'approvisionnement exploitent les relations de confiance entre les parties et sont difficiles à détecter. Elles peuvent toucher des milliers d'entreprises à partir d'une seule violation. Elles contournent les contrôles de sécurité normaux en passant par des voies fiables. Elles ont un temps de séjour élevé avant d'être détectées. La complexité des chaînes d'approvisionnement actuelles offre aux attaquants de nombreux points d'entrée potentiels. Une seule intrusion réussie permet aux attaquants d'accéder à plusieurs victimes, avec un maximum de dégâts et un minimum d'efforts.
