Sécurité

Hausse des attaques de la chaîne d'approvisionnement : comment protéger votre entreprise ?

Supply chain attacks on the rise devolutions blog
Laurence Cadieux

Bonjour! Je m'appelle Laurence Cadieux et je suis spécialiste en communication chez Devolutions. Mon rôle consiste à coordonner la stratégie de contenu et le développement de notre blogue, à gérer le contenu et la communication de notre plateforme pour les membres VIP de la Devolutions Force, et à travailler en étroite collaboration avec nos partenaires en relations publiques à travers le monde. Je suis titulaire d’un baccalauréat en marketing. Lorsque je ne travaille pas, je chante au sein d'un groupe, et j'aime regarder mes films préférés en boucle. J'aime aussi cuisiner, et pendant la pandémie, je suis devenue une experte du pain : je peux maintenant préparer la plus incroyable tarte à la lime de la planète (si je peux me permettre!). De plus, j'ai découvert tout récemment les LEGO et je ne peux plus faire marche arrière : je suis passionnée! Je suis toujours heureuse de vous aider, et vous pouvez me contacter directement à lcadieux@devolutions.net.

Afficher plus d'articles

Dire que les 18 derniers mois étaient désagréables est un euphémisme. Avec tous les défis de la pandémie, ils ont été non seulement éprouvants, mais traumatisants pour plusieurs entreprises, tous secteurs confondus. Aujourd’hui, les moments les plus difficiles semblent derrière nous. Tout porte à croire que les entreprises peuvent reprendre leurs activités en toute sécurité dans cette nouvelle réalité. Malheureusement, ce n’est pas si simple que ça.

Alors que la COVID-19 recule, un autre type de virus menace de plus en plus. Il s’agit d’un fléau pouvant infliger d’énormes dommages financiers. Nous parlons ici des attaques de la chaîne d'approvisionnement.

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement?

Lors d’une attaque de la chaîne d'approvisionnement, les pirates s'infiltrent dans le réseau d'un fournisseur de logiciels et utilisent un code malveillant pour compromettre le logiciel avant qu'il ne soit envoyé aux clients. Résultat : ils créent une porte dérobée qui leur donne accès aux systèmes et données. Ils peuvent compromettre une licence de logiciel dès l’achat ou compromettre un logiciel existant en s’infiltrant pendant une mise à jour. D’ailleurs, c’est cette dernière approche qui avait été utilisée dans la célèbre attaque de la chaîne d'approvisionnement Solorigate/Solarwinds. Les pirates avaient infiltré une liste de cibles de haute importance dont le Pentagone, le Département de la Sécurité intérieure des États‑Unis, Microsoft, Cisco, Intel et autres. La brèche était si complexe et multiforme que les experts l'ont qualifié du piratage le plus sophistiqué de tous les temps.

Exemples d’attaques à la chaîne d’approvisionnement

Même si l’attaque Solorigate/Solarwinds continue de faire les manchettes, plusieurs autres brèches de la chaîne d'approvisionnement ont eu lieu entre-temps :

  • En avril 2021, des pirates ont compromis un outil de développement logiciel vendu par une société du nom de Codecov, qui leur a donné accès à des centaines de réseaux de victimes.

  • En mai 2020, des chercheurs ont découvert un logiciel malveillant nommé Octopus Scanner qui était conçu pour diffuser des codes de portes dérobées dans les composantes NetBeans des référentiels GitHub, sans que les propriétaires légitimes du référentiel ne s'en rendent compte.

  • De janvier à mars 2020, le Federal Bureau of Investigation (FBI) a émis des alertes au secteur privé concernant des attaques de la chaîne d'approvisionnement impliquant le logiciel malveillant Kwampirs.

Ce ne sont que quelques exemples parmi les nombreuses attaques de la chaîne d'approvisionnement qui ont eu lieu récemment. Et on prévoit une accélération au cours des prochains mois. Des recherches menées par l'Identity Theft Resource Center (ITRC) ont montré qu’au premier trimestre de 2021, près de 140 entreprises ont déclaré avoir été victimes d'une attaque de la chaîne d'approvisionnement, ce qui représente une hausse de 42 % par rapport au dernier trimestre de 2020.

Pourquoi les attaques de la chaîne d'approvisionnement font-elles aussi peur?

Même si toutes les cybermenaces doivent être prises au sérieux, les attaques de la chaîne d'approvisionnement sont particulièrement inquiétantes, et ce, pour plusieurs raisons.

Premièrement, plusieurs logiciels tiers (de gestion informatique, d'accès à distance, d’antivirus, etc.) ont besoin de privilèges élevés pour fonctionner correctement. Comme le souligne la Cybersecurity and Infrastructure Security Agency :

Même si des produits peuvent être efficaces avec des privilèges réduits, ils demandent, par défaut, les plus hauts niveaux de privilèges au moment de l'installation pour garantir un maximum d’efficacité. Souvent, les clients acceptent ces valeurs par défaut sans se poser de questions, ce qui ajoute de potentielles vulnérabilités. Comme ces produits sont présents sur tous les systèmes d'un réseau, y compris les serveurs d'autorité et de gestion de domaine, les logiciels malveillants qui pourraient s’y insérer fourniraient aux pirates un accès privilégié aux systèmes les plus importants d'un réseau.

Deuxièmement, les logiciels tiers reposent sur une communication fréquente entre les fournisseurs et les clients. Le but est d’offrir des mises à jour, de faire des correctifs et d'améliorer constamment la sécurité. Ironiquement, ce sont ces mêmes interactions qui peuvent être exploitées par les pirates qui en profitent pour déployer des mises à jour chargées de logiciels malveillants. Ces derniers peuvent même aller jusqu’à empêcher une mise à jour de sécurité.

Troisièmement, les pirates informatiques utilisent les attaques de la chaîne d'approvisionnement pour cibler les entreprises les plus lucratives et les mieux sécurisées. Nick Weaver, chercheur en sécurité à l'Institut international d'informatique de l'UC Berkeley, disait : « Les attaques de la chaîne d'approvisionnement sont indirectes. Les vraies cibles ne sont pas celles que les pirates attaquent. Si leurs vraies cibles sont très bien sécurisées, la chaîne d’approvisionnement devient alors un des points d’entrée les plus faciles. »

Finalement, la quatrième raison (qui est en fait une extension de la troisième raison, mais qui a besoin d’être plus approfondie), c’est que, par rapport à d'autres types de cyberattaques, les attaques de la chaîne d'approvisionnement offrent aux pirates une économie d'échelle. Plutôt que de tenter de pirater des milliers d’entreprises, ils essayent d'attaquer un seul fournisseur. Dans le cas où cela fonctionne, ils en profitent pour utiliser la porte dérobée et pénétrer différentes cibles sur une longue période. Par exemple, c’est en 2020 que les chercheurs de FireEye ont découvert l'attaque de la chaîne d'approvisionnement Solorigate/Solarwinds, mais de nouvelles preuves suggèrent qu’elle aurait commencé près de deux ans plus tôt, en janvier 2019.

Comment prévenir les attaques de la chaîne d’approvisionnement?

À ce sujet, il y a de bonnes et de mauvaises nouvelles. Fidèles à nos habitudes, nous allons d’abord vous révéler les mauvaises.

Aucune solution miracle n’élimine à 100 % la possibilité d'attaques de la chaîne d'approvisionnement. Comme le mentionnait le cabinet de conseil Booz|Allen|Hamilton : « Les adversaires sont toujours à la recherche de nouvelles façons d'infiltrer les entreprises, que ce soit en trouvant des points d'entrée via des fournisseurs, des vendeurs tiers, etc. »

La bonne nouvelle, c’est qu’étant donné les conséquences potentielles causées par une telle attaque, les entreprises peuvent (et doivent) être proactives pour réduire leur vulnérabilité. Voici donc nos huit conseils :

1. Supposer qu'une violation s'est déjà produite

Les entreprises ne peuvent pas réagir n’importe comment face à une potentielle violation. Elles doivent, au contraire, supposer qu'elle s'est déjà produite. Cela signifie d’être proactif et d’effectuer les bons investissements (expliqués en détail plus loin). Comme le conseille la société de cybersécurité UpGuard : « Ce subtil changement d'état d'esprit favorise le déploiement de stratégies actives pour tous les vecteurs d'attaque vulnérables d'une entreprise. » À ce sujet, le cabinet de conseil Infused Innovation précise : « Adopter cet état d’esprit (qu’une violation peut survenir n’importe quand) signifie qu’on s’attend à ce que votre périmètre d'identité ou de réseau échoue à un moment ou un autre. Même en activant l’authentification multifacteur et l'authentification par certificat 802.1x sur les appareils, il faut continuellement supposer qu'une attaque par échange de carte SIM ou qu’un vol de certification se produiront. »

2. Faire un examen approfondi des fournisseurs

Les entreprises doivent non seulement demander, mais exiger de leurs fournisseurs qu’ils suivent continuellement les meilleures pratiques de sécurité. Selon le directeur principal de l'infrastructure, de la sécurité, du support et des contrôles à la Springfield Clinic, Nick Fuchs, ils devraient notamment :

  • Tester régulièrement la force de leur résilience en matière de cybersécurité.

  • Fournir la preuve de la dernière analyse de code source ou de la pénétration de l'application.

  • Déployer des pare-feux d’application ou des segmentations de réseau qui restreignent l'accès aux programmes d’applications ou aux codes sources des objets.

  • Se conformer aux politiques ou réglementations pertinentes telles que SOC 2, RGPD, CCPA, NIST, COBIT et ISO-27001/2, et fournir la preuve d'une certification à jour.

  • Posséder un programme de sensibilisation à la sécurité pour les employés.

Comme le mentionnait TechTarget : « Si vos partenaires ont mis en place ces meilleures pratiques de sécurité et les appliquent en permanence, vous pouvez être un peu plus confiant envers votre fournisseur. Cependant, plusieurs fournisseurs n'en sont pas encore à ce niveau. Il est donc important d'évaluer les vôtres de près et trouver ceux qui mettent en place ce genre de mesures. »

3. Adopter l’approche Confiance zéro

L’approche Confiance zéro signifie que personne n'est automatiquement approuvé et que toute activité réseau est, par défaut, considérée comme malveillante. Concrètement, travailler avec la mentalité « ne jamais faire confiance, toujours vérifier d’abord » signifie que les entreprises devraient se concentrer sur les étapes et stratégies suivantes :

  • Remplacer tous les services et systèmes hérités non authentifiés par des technologies infonuagiques.

  • Mettre en œuvre une architecture Confiance zéro en fonction du déplacement des données sur les réseaux et la manière dont les applications et les utilisateurs accèdent aux informations sensibles.

  • Utiliser l’authentification multifacteur pour vérifier les connexions sur le réseau.

  • Appliquer les politiques relatives aux appareils en réorganisant les utilisateurs par groupes et rôles.

  • Utiliser le dé-provisionnement automatique pour les employés quittant l’entreprise ou pour les sous-traitants.

  • Ajouter l’option d'effacer, de verrouiller et de désinscrire les appareils volés/perdus.

  • Mettre régulièrement à jour les droits des utilisateurs finaux en fonction des modifications apportées aux rôles/tâches ainsi que les modifications apportées aux politiques de sécurité en vigueur et aux exigences de conformité.

  • Éduquer et former les utilisateurs finaux pour améliorer leurs bonnes pratiques en matière de sécurité.

4. Utiliser une solution de gestion des accès privilégiés (PAM)

Une solution PAM peut aider à bloquer les pirates qui tentent de suivre une trajectoire d'attaque commune (aussi connue sous « voie privilégiée »). Celle-ci débute par la pénétration du périmètre, puis compromet les périphériques et les points de terminaison privilégiés et se termine par une violation de données. Pour être efficace, une solution PAM doit prendre en charge tous les éléments suivants :

  • Surveillance des sessions en direct.

  • Contrôle d'accès basé sur les rôles.

  • Rapports et journalisation complets.

  • Authentification multifacteur.

  • Notifications en temps réel.

Elle doit, en plus de ça, être facile à utiliser, à configurer et à intégrer dans une solution de connexion et de gestion à distance. Tout ça, dans le but de créer un « panneau de verre unique », centralisé et sécurisé pour la gestion des identités et des accès.

5. Appliquer le principe du moindre privilège

Le principe du moindre privilège signifie que les utilisateurs finaux n'obtiennent que l'accès dont ils ont besoin pour effectuer leurs tâches quotidiennes. Si des privilèges élevés sont nécessaires pour un projet ou une activité spécifique, ils doivent être accordés temporairement, puis supprimés immédiatement une fois qu'ils ne sont plus nécessaires. Le principe du moindre privilège fonctionne de pair avec une solution PAM pour limiter, contrôler et surveiller l'utilisation des comptes privilégiés.

6. Utiliser les Honeytokens

Un honeytoken, c’est une sorte de leurre. Un compte privilégié dormant est créé et surveillé. Si des pirates tentent de s'introduire dans le compte, une alerte est déclenchée, indiquant que l'environnement a été piraté.

7. Mettre en place une défense en profondeur

La défense en profondeur est une approche selon laquelle on utilise plusieurs couches de protection pour freiner les pirates tandis qu'ils tentent de se frayer un chemin jusqu'au périmètre. Comme le soulignait l'Institut SANS :

Aucune mesure de sécurité unique ne peut protéger adéquatement un réseau ; il existe tout simplement trop de méthodes à la disposition d'un pirate pour que ça fonctionne… Mettre en place une stratégie de défense en profondeur va, on l’espère, vaincre ou décourager toutes sortes d'attaquants. Les pare-feux, les systèmes de détection d'intrusion, les utilisateurs bien formés, les politiques et procédures, les réseaux commutés, les mots de passe forts et une bonne sécurité physique sont des exemples de mesures qui forment une stratégie de sécurité efficace. Pris individuellement, ces mécanismes ont peu de valeur, mais mis en œuvre ensemble, ils deviennent beaucoup plus efficaces.

8. Mettre en œuvre la séparation des tâches

Conçue pour réduire les risques de menaces internes (les utilisateurs malveillants), la séparation des tâches vient de l'idée que, lorsque plusieurs personnes sont impliquées dans un flux de travail sensible, il y a moins de risque qu'un individu manipule ou abuse des ressources de l’entreprise. CSOOnline propose d’ailleurs un test simple, mais efficace, pour vérifier si une stratégie et un processus de séparation des tâches fiables sont en place :

Demandez-vous d’abord s’il y a quelqu'un qui peut modifier ou détruire vos données financières sans que personne s’en aperçoive. Deuxièmement, demandez-vous si quelqu’un peut voler des informations sensibles. Troisièmement, demandez-vous si une personne a une influence sur la conception, la mise en œuvre et la communication des contrôles. Les réponses à toutes ces questions devraient être « non ». Si la réponse à l'une d'entre elles est « oui », vous devez repenser votre organigramme pour vous assurer de mettre en place une séparation des tâches appropriée.

Le mot de la fin

Comme le mettait en garde la Cyber Risk Alliance : « Presque tous les chercheurs en sécurité s'accordent pour dire que davantage [d'attaques de la chaîne d'approvisionnement] vont se produire. » Les entreprises qui vont adopter les recommandations décrites ci-dessus, surtout la première qui consiste à supposer qu’une violation a déjà eu lieu, réduisent considérablement leurs risques d'en être victime. Quand on pense que le coût moyen d'une violation de données est estimé à plus de 8,19 millions de dollars par incident et que 60 % des petites et moyennes entreprises (PME) disparaissent dans les six mois suivant une violation de données, réduire le risque d'attaque par la chaîne d'approvisionnement devient non seulement utile, mais essentiel.

Articles similaires

Lire plus d'articles dans la section Sécurité