Sécurité d'entreprise

Faire aveuglément confiance à vos partenaires et fournisseurs quant à leur posture de sécurité n'est pas durable : il est temps de prendre le contrôle grâce à une gestion efficace des risques liés aux fournisseurs.

Phil Muncaster

25 Jan 2024
 • 
,
5 minute. lis

Le monde est construit sur les chaînes d’approvisionnement. Ils constituent le tissu conjonctif qui facilite le commerce et la prospérité à l’échelle mondiale. Mais ces réseaux d’entreprises qui se chevauchent et sont interdépendantes sont de plus en plus complexes et opaques. La plupart impliquent la fourniture de logiciels et de services numériques, ou du moins dépendent d’une manière ou d’une autre des interactions en ligne. Cela les expose à des risques de perturbations et de compromis.

Les PME en particulier ne cherchent peut-être pas de manière proactive ou ne disposent pas des ressources nécessaires pour gérer la sécurité de leurs chaînes d'approvisionnement. Mais aveuglément faire confiance à vos partenaires et fournisseurs sur leur posture de cybersécurité n’est pas viable dans le climat actuel. En effet, il est (passé) temps de prendre au sérieux la gestion des risques liés à la chaîne d'approvisionnement.

Qu'est-ce que le risque de la chaîne d'approvisionnement ?

Les cyber-risques liés à la chaîne d’approvisionnement pourraient prendre de nombreuses formes, depuis ransomware et du vol de données au déni de service (DDoS) et à la fraude. Ils peuvent avoir un impact sur les fournisseurs traditionnels tels que les sociétés de services professionnels (par exemple, les avocats, les comptables) ou les fournisseurs de logiciels d'entreprise. Les attaquants peuvent également s’en prendre aux fournisseurs de services gérés (MSP), car en compromettant ainsi une seule entreprise, ils pourraient accéder à un nombre potentiellement important d’entreprises clientes en aval. Recherche de l'année dernière a révélé que 90 % des MSP ont subi une cyberattaque au cours des 18 mois précédents.

Voici quelques-uns des principaux types de cyberattaques sur la chaîne d’approvisionnement et comment elles se produisent :

• Logiciel propriétaire compromis : Les cybercriminels deviennent plus audacieux. Dans certains cas, ils ont réussi à trouver un moyen de compromettre les développeurs de logiciels et d'insérer des logiciels malveillants dans le code qui est ensuite transmis aux clients en aval. C'est ce qui s'est passé dans le Campagne contre le rançongiciel Kaseya. Dans un cas plus récent, un logiciel de transfert de fichiers populaire MOVEit a été compromis par une vulnérabilité Zero Day et des données volées à des centaines d'utilisateurs d'entreprise, affectant des millions de leurs clients. Pendant ce temps, le compromission du logiciel de communication 3CX est entré dans l’histoire comme le premier incident jamais documenté publiquement d’une attaque de la chaîne d’approvisionnement en entraînant une autre.
• Attaques contre les chaînes d’approvisionnement open source : La plupart des développeurs utilisent des composants open source pour accélérer la mise sur le marché de leurs projets logiciels. Mais les acteurs malveillants le savent et ont commencé à insérer des logiciels malveillants dans des composants et à les rendre disponibles dans des référentiels populaires. Un rapport affirme il y a eu une augmentation de 633 % d’une année sur l’autre de ces attaques. Les acteurs malveillants exploitent également rapidement les vulnérabilités du code open source que certains utilisateurs peuvent mettre du temps à corriger. C'est ce qui s'est produit lorsqu'un bug critique a été découvert dans un outil quasi omniprésent. connu sous le nom de Log4j.
• Usurpation de l'identité de fournisseurs à des fins de fraude : Des attaques sophistiquées connues sous le nom de compromis de messagerie commerciale (BEC) impliquent parfois des fraudeurs se faisant passer pour des fournisseurs afin d'inciter un client à lui virer de l'argent. L'attaquant détourne généralement un compte de messagerie appartenant à l'une ou l'autre partie, surveillant les flux de courrier électronique jusqu'à ce que le moment soit venu d'intervenir et d'envoyer une fausse facture avec des coordonnées bancaires modifiées.
• Vol d'identifiants : Les assaillants ne voler les identifiants des fournisseurs dans le but de pirater le fournisseur ou leurs clients (dont ils peuvent avoir accès aux réseaux). C’est ce qui s’est produit lors de la violation massive de Target en 2013, lorsque les pirates ont volé les informations d'identification de l'un des fournisseurs CVC du détaillant.
• Le vol de données: De nombreux fournisseurs stockent des données sensibles sur leurs clients, en particulier des sociétés comme les cabinets d'avocats qui sont au courant de secrets d'entreprise intimes. Ils représentent une cible attractive pour les auteurs de menaces à la recherche d’informations qu’ils peuvent monétiser par extorsion ou d'autres moyens.

Comment évaluez-vous et atténuez-vous les risques liés aux fournisseurs ?

Quel que soit le type de risque spécifique à la chaîne d’approvisionnement, le résultat final pourrait être le même : des dommages financiers et de réputation et des risques de poursuites judiciaires, de pannes opérationnelles, de pertes de ventes et de clients mécontents. Pourtant, il est possible de gérer ces risques en suivant certaines bonnes pratiques du secteur. Voici huit idées :

1. Effectuer une due diligence sur tout nouveau fournisseur. Cela signifie vérifier que leur programme de sécurité correspond à vos attentes et qu'ils ont mis en place des mesures de base pour la protection, la détection et la réponse aux menaces. Pour les fournisseurs de logiciels, il convient également de déterminer s'ils ont mis en place un programme de gestion des vulnérabilités et quelle est leur réputation concernant la qualité de leurs produits.
2. Gérez les risques open source. Cela peut impliquer d'utiliser des outils d'analyse de la composition logicielle (SCA) pour gagner en visibilité sur les composants logiciels, ainsi qu'une analyse continue des vulnérabilités et des logiciels malveillants et une correction rapide de tout bug. Assurez-vous également que les équipes de développeurs comprennent l’importance de la sécurité dès la conception lors du développement de produits.
3. Effectuer une revue des risques de tous les fournisseurs. Cela commence par comprendre qui sont vos fournisseurs, puis vérifier s'ils ont mis en place des mesures de sécurité de base. Cela devrait s’étendre à leurs propres chaînes d’approvisionnement. Effectuez des audits fréquents et vérifiez l'accréditation auprès des normes et réglementations de l'industrie, le cas échéant.
4. Gardez une liste de tous vos fournisseurs approuvés et mettez-le à jour régulièrement en fonction des résultats de votre audit. Un audit et une mise à jour réguliers de la liste des fournisseurs permettront aux organisations de procéder à des évaluations approfondies des risques, d'identifier les vulnérabilités potentielles et de garantir que les fournisseurs respectent les normes de cybersécurité.
5. Établir une politique formelle pour les fournisseurs. Celui-ci doit décrire vos exigences pour atténuer les risques liés aux fournisseurs, y compris les SLA qui doivent être respectés. En tant que tel, il constitue un document fondamental décrivant les attentes, les normes et les procédures que les fournisseurs doivent respecter afin de garantir la sécurité de l'ensemble de la chaîne d'approvisionnement.
6. Gérer les risques d’accès aux fournisseurs. Appliquer le principe du moindre privilège entre les fournisseurs, s'ils ont besoin d'accéder au réseau de l'entreprise. Cela pourrait être déployé dans le cadre d'un Approche Zero Trust, où tous les utilisateurs et appareils ne sont pas fiables jusqu'à ce qu'ils soient vérifiés, avec une authentification continue et une surveillance du réseau ajoutant une couche supplémentaire d'atténuation des risques.
7. Élaborer un plan de réponse aux incidents. Dans le cas du pire des cas, assurez-vous d’avoir un plan bien préparé à suivre afin de contenir la menace avant qu’elle n’ait une chance d’avoir un impact sur l’organisation. Cela inclura la façon d'assurer la liaison avec les équipes travaillant pour vos fournisseurs.
8. Envisagez de mettre en œuvre les normes de l’industrie. ISO 27001 ainsi que ISO 28000 Il existe de nombreuses façons utiles de réaliser certaines des étapes énumérées ci-dessus afin de minimiser les risques liés aux fournisseurs.

Aux États-Unis l'année dernière, il y a eu 40 % plus d'attaques contre la chaîne d'approvisionnement que d'attaques basées sur des logiciels malveillants, selon un rapport. Elles ont entraîné des violations affectant plus de 10 millions de personnes. Il est temps de reprendre le contrôle grâce à une gestion plus efficace des risques fournisseurs.