Attaque de la supply chain : Il est temps de se mettre à la page des nouvelles techniques

0

Comment les professionnels de la sécurité informatique peuvent-ils réévaluer de manière critique leurs capacités de détection et de prévention rapide des tentatives d’attaque contre la supply chain ? 

L’impact de l’attaque SolarWinds SUNBURST contre la supply chain n’est pas encore totalement connu. Pourtant cette attaque de grande ampleur fait d’ores et déjà figure d’avertissement pour les professionnels de la sécurité informatique et leurs entreprises. Les attaques de supply chain, qui exploitent des vulnérabilités tierces pour accéder à des informations sensibles ou causer des dommages dans une entreprise, ne sont pas nouvelles. Cependant, leur complexité croissante, comme en témoigne l’attaque SolarWinds, oblige les professionnels de la sécurité informatique à une réévaluation critique de leurs capacités à détecter des tentatives d’attaque contre la supply chain et à y répondre rapidement. 

Tout est affaire de contrôle préalable

Il n’est malheureusement plus question de s’appuyer sur des règles standard pour se prémunir contre des attaques de la supply chain. Les professionnels de la sécurité continuent de se fier à leur procédure de contrôle préalable des nouveaux fournisseurs, consistant à leur faire remplir des questionnaires sur les détails de leur société, leurs références, leurs qualifications, leur conformité avec des réglementations telles que SOC2 ou leur adhésion à la CSA (Cloud Security Alliance). 

Ces approches standards de longue date ne sont souvent pas en adéquation avec la protection contre les menaces en constante évolution qui pèsent sur la supply chain. Pire encore, elles sont parfois impossibles à suivre, les professionnels de la sécurité informatique ayant des difficultés à consacrer le temps et les ressources nécessaires pour protéger leur supply chain. C’est pourquoi ils doivent mener intelligemment leur contrôle préalable. 

La clé du contrôle préalable pour les entreprises consiste à prioritiser les fournisseurs critiques qui nécessitent la mise en place de procédures et pratiques au-delà des approches historiques de sécurité de la supply chain. Une bonne pratique envisageable pour les RSSI et les DSI peut résider dans des audits fréquents ne se limitant donc pas qu’à l’attestation de conformité à un standard souvent délivré par un organisme tiers, qui reste malgré tout une exigence minimale pour la gestion sécurisée des données des entreprises. Même si cela nécessite plus de temps et de travail pour y associer les clients et les auditeurs tiers, il peut en résulter un éclairage essentiel sur les meilleures pratiques de ces fournisseurs. Il est en effet indispensable pour les entreprises lors de la mise en place de contrôles préalables de la supply chain, de savoir si les fournisseurs observent les meilleures pratiques rigoureusement ou bien seulement occasionnellement. 

Appliquer les meilleures pratiques internes aux fournisseurs externes

Une fois que l’entreprise a évalué le degré de criticité de chacun des fournisseurs, le RSSI peut facilement les classer en fonction des risques qu’ils présentent. Par exemple, si les professionnels de la sécurité ne disposent que d’une visibilité restreinte sur l’infrastructure d’un fournisseur critique, ils doivent prévoir les pires scénarios, tels que des fuites ou des intrusions dans la supply chain. Cependant, le caractère critique ou non du fournisseur influe sur son score de risque vis-à-vis de l’entreprise. L’un des enseignements tirés de l’attaque SolarWinds a été que l’un des fournisseurs avait recommandé de désactiver les contrôles de sécurité standard sur son logiciel. 

Si cette pratique est extrêmement répandue chez les RSSI pour leurs propres risques internes, elle ne l’est pas pour les risques externes. La quantification des risques tant externes qu’internes est une habitude que les professionnels de la sécurité doivent désormais intégrer dans leur quotidien. Ces derniers sont en effet conscients qu’il existera toujours des failles dans leurs systèmes et leur supply chain, ce qui fait intrinsèquement de la sécurité un sujet à aborder sous l’angle de la notion de risques avec leurs fournisseurs.

Localiser, réagir et résoudre proactivement les attaques 

Aux côtés de la documentation mise à disposition par leurs fournisseurs externes qui détaille les mesures mises en place contre les attaques, les entreprises doivent aussi pouvoir détecter les mouvements latéraux au sein de leur réseau. Faute de cela, elles affrontent des adversaires en étant complètement aveugle sur leur activité une fois que ceux-ci ont franchi les défenses périmétriques. Il leur faut donc ajouter des niveaux supplémentaires de défense, tels que des outils NDR (Network Detection & Response), capables de surveiller et d’enregistrer toute l’activité survenant sur le réseau, qu’une menace préalable ait été détectée ou non. 

Selon Gartner, le NDR assure des contrôles de sécurité majeurs à de nombreux stades de la « kill chain » d’une attaque contre la supply chain. Grâce à cette visibilité, les RSSI et les DSI peuvent suivre en détail les mouvements d’un intrus sur l’ensemble de leur périmètre, qu’il s’agisse de nouvelles connexions, d’un comportement anormal d’un utilisateur ou d’une attaque en règle de la supply chain. Fortes de cette vision complète de l’activité du réseau, les différentes équipes de sécurité opérationnelle peuvent rapidement identifier les attaques et remédier aux vulnérabilités afin de bloquer et de prévenir tout dommage ultérieur. 

Il est clair que les attaques de la supply chain sont inévitables et que les entreprises doivent s’attendre à en subir. La différence se fait dans leur rapidité de réaction, pour localiser l’activité suspecte et y remédier aussi vite que possible. Les professionnels de la sécurité ne peuvent plus s’en remettre à des remparts soigneusement dressés autour de l’entreprise pour bloquer les activités malveillantes. Des brèches y seront ouvertes mais c’est la réactivité de l’entreprise à les identifier et à les colmater qui compte désormais. 

About Author

Riad Nassou

directeur régional des ventes chez ExtraHop

Leave A Reply