17/05/2022 undernews.fr  7min #208316

Les points faibles des chaînes d'approvisionnement

C'est la panique parmi les experts en sécurité : les attaques via les chaînes d'approvisionnement représentaient déjà une source de revenus importante pour les cybercriminels en 2021, et cette tendance se confirme cette année. Pour ces malfaiteurs, il suffit d'une seule vulnérabilité, d'un seul piratage réussi, et d'une victime compromise sur l'ensemble de la chaîne pour pouvoir toucher la cible plus lucrative et s'infiltrer dans d'autres réseaux d'entreprise.

Tribune Tanium - SolarWinds et Kaseya peuvent d'ailleurs en témoigner. Aussi simples que soient les méthodes des pirates, beaucoup de chaînes logicielles sont conçues de façon complexe. Comment les protéger des menaces grandissantes ? Et quels sont les facteurs à prendre en compte ?

Les défis de sécurité de la chaîne d'approvisionnement

La gestion des chaînes d'approvisionnement de bout en bout s'apparente à une tâche gigantesque. Malheureusement, de nombreuses entreprises se fient encore à la confiance ou à des feuilles de calcul manuelles lorsqu'il s'agit de se protéger contre les risques cyber.

Cependant, leur manque de visibilité sur leurs propres actifs informatiques et leur dépendance vis-à-vis de leurs partenaires et fournisseurs représentent une réelle menace. Ceci est en partie dû au fait que leurs écosystèmes incluent aujourd'hui plus de fournisseurs tiers que jamais. Par conséquent, la première étape doit être de répondre à des questions essentielles : Qui sont ces fournisseurs ? À quoi ressemble leur sécurité ? Et comment utilisent-ils leurs données ?

Les fournisseurs tiers doivent être en mesure de fournir un inventaire complet et précis de leurs actifs informatiques. Celui-ci permet de comprendre le statut des endpoints et les versions des logiciels installés, et d'appliquer les correctifs nécessaires suffisamment vite pour atténuer les risques.

Les failles au niveau de la gestion des chaînes d'approvisionnement ou des systèmes des fournisseurs peuvent avoir de lourdes conséquences, tout comme l'adoption de mauvaises pratiques de sécurité. Il est donc important de procéder à une due diligence rigoureuse, mais aussi de réévaluer ces relations de façon régulière. À ce stade, il apparaît donc nécessaire d'instaurer des normes de sécurité obligatoires.

Cependant, beaucoup d'entreprises considèrent la sécurité de leur chaîne d'approvisionnement comme une simple activité au sein d'une liste de tâches ponctuelles. En outre, les équipes de sécurité sont souvent contactées trop tard lors du processus d'intégration pour être en mesure d'éliminer les risques émergents. Parfois, il suffit aux assaillants d'une seule vulnérabilité : après avoir accédé aux systèmes, ils peuvent alors s'attaquer directement aux données les plus précieuses de l'entreprise. Cette méthode est ce que l'on appelle un mouvement latéral : les pirates dérobent et exploitent des identifiants, puis progressent jusqu'à des actifs clés en se déplaçant à travers le réseau.

Les organisations ont donc besoin d'un maximum de visibilité, afin d'analyser les droits d'accès et les vulnérabilités associées. En outre, les équipes de sécurité doivent vérifier que les équipements ne contiennent pas de composants frauduleux ou de logiciels malveillants, et ne sont pas contrefaits de façon, par exemple, à permettre le stockage de données tierces. Les failles de sécurité au niveau de la gestion des chaînes d'approvisionnement ou des systèmes de fournisseurs peuvent également servir de tremplins pour les criminels.

Des exigences croissantes

Contrairement aux autres cyberattaques ciblées, les attaques via les chaînes d'approvisionnement nécessitent une gestion des risques allant au-delà des frontières de l'entreprise. Ce faisant, les exigences en matière de cybersécurité de la chaîne d'approvisionnement ne peuvent être laissées de côté. Selon le National Institute of Standards and Technology (NIST), l'identification, l'évaluation et l'atténuation des cyber-risques pour cette chaîne sont des facteurs critiques pour atteindre un niveau de sécurité informatique adéquat. Tous ces éléments rappellent également que la mondialisation, l'externalisation et le numérique sont à l'origine d'une dépendance croissante vis-à-vis de chaînes d'approvisionnement complexes. Les cas notoires de SolarWinds et Kaseya ont permis de mettre en lumière le potentiel de risque élevé des cyberattaques.

Compte tenu de la recrudescence des attaques via des chaînes d'approvisionnement, les entreprises ne peuvent plus se permettre de prendre des mesures se focalisant exclusivement sur leurs propres opérations. Il est donc de plus en plus important pour elles de définir des exigences légales en matière de cybersécurité pour leurs chaînes d'approvisionnement. Cependant, puisque ces obligations légales et techniques ne suffiront pas à établir et atteindre le niveau de sécurité requis, les entreprises doivent s'appuyer sur des clauses contractuelles pour contenir les risques autant que possible. En définitive, les organisations ayant mis en place les meilleures pratiques de sécurité auront le plus de succès.

Les meilleures pratiques

La prévention des risques cyber doit couvrir les achats, la gestion des fournisseurs, la continuité et la qualité de la chaîne d'approvisionnement, et la sécurité des transports. Il est donc important de poser les bonnes questions, et notamment de savoir si le processus de développement des logiciels et des équipements est bien documenté, et si la maîtrise des vulnérabilités connues a été prise en compte dès la conception du produit. Quels contrôles ont été mis en place pour gérer et superviser les processus de production ? Comment la gestion des configurations est-elle assurée, et jusqu'où vont les investigations sur les logiciels malveillants ? Quels sont les mécanismes de contrôle des accès ? Comment les données des clients sont-elles protégées et stockées ? Combien de temps ces données sont-elles conservées, et sont-elles détruites à la fin du partenariat ? Et comment le fournisseur s'assure-t-il de sa sécurité tout au long du cycle de vie du produit ?

Pour maîtriser les risques, les entreprises ont un certain nombre d'options à leur disposition.

Leurs exigences de sécurité doivent figurer dans l'ensemble des appels d'offres et contrats.

Si un fournisseur est intégré à la chaîne d'approvisionnement, c'est à l'équipe de sécurité qu'il revient de travailler avec ce prestataire pour éliminer ses potentielles vulnérabilités et combler ses failles.

L'intransigeance doit être de mise pour tous les produits non conformes aux spécifications.

L'achat de composants doit être rigoureusement contrôlé. Le code source des logiciels achetés doit pouvoir être consulté. Les processus d'amorçage sécurisés doivent exiger des codes d'authentification, afin que le système ne démarre qu'une fois ces codes reconnus.

L'automatisation du Build (mise en place) processus et les processus de tests réduit le risque lié aux interventions humaine.

La meilleure gestion proactive des risques passe par des outils apportant une visibilité permanente sur les l'intégralité des actifs, et offrant aux responsables le contrôle nécessaire pour réagir rapidement lorsque cela compte le plus. Une solution centralisée de gestion des endpoints permettra notamment aux organisations d'envoyer des requêtes aux postes clients et serveurs gérés, d'analyser les résultats, et d'envoyer des instructions en fonction des réponses. De plus, l'état de la sécurité et de l'environnement opérationnel peut être contrôlé afin que les actions appropriées puissent être prises en fonction des données collectées. En surveillant les endpoints en continu à la recherche d'activités anormales (en ligne ou hors ligne), il devient possible d'utiliser des alertes en temps réel pour informer immédiatement les équipes de sécurité, et d'agir rapidement pour protéger le réseau.

L'année dernière, les attaques via les chaînes d'approvisionnement se sont révélées extrêmement profitables pour les cybercriminels. Les experts en sécurité s'attendent ainsi à ce que la fréquence de ces attaques continue d'augmenter en 2022. Les entreprises s'appuyant sur des plateformes et des services doivent revoir leurs stratégies actuelles, et être bien conscientes que la sécurité ne s'arrête pas aux frontières de leurs propres réseaux.

 undernews.fr