Protection de la supply chain : pourquoi l’humain joue un rôle clé dans la gestion du risque

0

La relation de confiance existant entre une entreprise, ses partenaires ou ses prestataires est souvent exploitée par les cybercriminels pour accéder au réseau de l’entreprise. Formation et sensibilisation restent aujourd’hui la meilleure parade.

Que vous soyez une start-up du secteur des technologies, un détaillant mondial ou un conseil municipal, la supply chain physique fait partie des éléments essentiels à la mission de votre organisation. C’est également l’un de ceux qui posent l’un des risques potentiels les plus importants : d’après certaines estimations, environ 80 % des violations de données trouvent leur origine dans la supply chain. Loin d’arranger le problème, de nombreux responsables informatiques tentent de gérer ce risque en investissant massivement dans des technologies ronflantes.

En réalité, bien qu’il existe un réel besoin de solutions technologiques efficaces pour prévenir les risques qui entourent la supply chain, l’élément qui mérite toute l’attention des dirigeants est avant tout lié au personnel. Avec l’entrée en vigueur dans quelques mois du règlement général sur la protection des données de l’UE (RGPD), il ne reste que peu de temps aux entreprises pour remédier à cette situation.

Un maillage complexe

Bien que jouant un rôle essentiel dans toutes les entreprises, les chaînes logistiques modernes représentent également une part énorme de risque et de complexité supplémentaires. La supply chain s’est développée au fur et à mesure de l’évolution des processus et des technologies numériques, jusqu’à devenir mondialisée et intégrée aux organisations comme jamais on ne l’aurait cru possible auparavant. Par exemple, de nombreux fournisseurs disposent désormais d’un accès privilégié au réseau des entreprises, sans pour autant se conformer de manière aussi assidue aux meilleures pratiques de cybersécurité que ces organisations partenaires. Ils représentent ainsi une cible privilégiée pour les attaquants.

Parmi les violations de données dont ont été victimes de grandes entreprises, plusieurs d’entre elles résultent de failles de sécurité chez des fournisseurs de services annexes. Pour le détaillant américain Target, ce sont des informations d’identification réseau utilisées par un fournisseur et prestataire de services de chauffage, ventilation et climatisation qui ont été dérobées dans le cadre d’une violation touchant plus de 60 millions de clients. Pour l’Office of Personnel Management (OPM) des États-Unis (l’agence responsable de la fonction publique du gouvernement fédéral), c’est un partenaire spécialisé dans la vérification des antécédents qui a le premier subi une attaque avec le vol de ses informations d’identification réseau, ce qui a conduit au vol de 22 millions de dossiers fédéraux.

Une autre tactique d’attaque de la supply chain de plus en plus répandue consiste à compromettre le logiciel à la source lors de son développement, ou à modifier un produit terminé, de sorte qu’une fois distribué, il puisse servir à infiltrer une organisation cible connue pour utiliser ce logiciel. C’est précisément ce qui s’est produit dans le cas des attaques du tristement célèbre rançongiciel “NotPetya” de juin dernier, lorsque le fournisseur ukrainien d’un logiciel de comptabilité populaire a été victime d’un piratage entraînant un détournement malveillant de son logiciel et de son système dans le but de propager des malwares parmi ses clients, sans que ces derniers ne se doutent de rien.

La même souche de malware a conduit à des interruptions de service liées à des rançongiciels coûtant à l’entreprise TNT détenue par FedEx et au géant danois de la livraison Maersk au moins 300 millions de dollars chacun. Si ceux qui ont été directement affectés par NotPetya ont fait état de dommages s’élevant à ce jour à plus de 1 milliard de dollars, les répercussions sur les autres acteurs de leur chaîne en aval s’avèrent nettement plus difficiles à identifier.

Des attaques de la supply chain interviennent également à bien plus petite échelle. On voit ainsi le niveau d’interdépendance et d’imbrication qu’ont atteint les entreprises et leurs systèmes numériques.

Évaluer le coût

Les violations de données coûtent déjà plus de 3,6 millions de dollars en moyenne à chacune des entreprises mondiales, et ce sans tenir compte des amendes maximales de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (selon le montant le plus élevé) qui devraient voir le jour avec le RGPD en mai 2018. Outre ces coûts financiers notables, les incidents majeurs de sécurité peuvent également entamer la confiance du consommateur et ruiner la réputation d’une entreprise. Dans certains cas, ils peuvent même mettre en péril des vies humaines et les systèmes et équipements critiques sur lesquels nous nous appuyons, autant de choses qui sont bien plus difficiles à réparer ou remplacer.

Ce n’est pas tout : le maillage complexe des interdépendances qui forment les chaînes logistiques modernes peut également amplifier l’impact d’une interruption ou d’une violation, comme ont pu le constater les clients et partenaires de Maersk et TNT en juin. Les entreprises doivent donc entamer les démarches de sécurisation de la supply chain en commençant par cerner la position qu’elles y occupent elles-mêmes, ainsi que celle des multiples “chaînes logistiques au sein des chaînes logistiques” qui peuvent graviter autour d’elles. Si chacune des relations entretenues avec un fournisseur comporte des risques et exige d’être étroitement gérée, les responsables informatiques doivent également accepter de ne pas avoir une prise directe sur certains aspects des partenariats.

Le maillon fort

Malheureusement, il n’existe aucune solution miracle pour réduire les risques associés à la supply chain, bien que certaines normes et certains cadres actuels (comme la norme PCI DSS) peuvent s’avérer utiles dans ce domaine une fois intégrés à une stratégie. Les meilleures pratiques exigent que les responsables informatiques établissent des stratégies de réduction des risques les plus détaillées possible en répondant aux besoins, en éliminant chaque point de défaillance et en mettant au point des plans de réaction aux incidents efficaces dans le pire cas de figure. La collaboration et la coopération sont indispensables, en mettant l’accent sur l’amélioration de la sécurité pour le bien des deux parties plutôt que sur une conformité que l’on ne fait qu’imposer de façon stricte et verticale.

Si des technologies telles que l’authentification multifacteur, la mise en œuvre d’une surveillance continue, la gestion des correctifs, les révisions de code et bien d’autres contrôles peuvent indéniablement aider, la formation du personnel reste ce qui génère le plus grand retour sur investissement. En faisant en sorte de mieux sensibiliser les employés et ceux des entreprises de ses fournisseurs, l’entreprise peut transformer le point faible de l’organisation en une première ligne de défense solide, en les aidant à identifier les e-mails de phishing, les comportements inhabituels et les faiblesses physiques et numériques qui constituent si souvent le point de départ des cyberattaques d’aujourd’hui. De plus, cela permet également d’instaurer une culture dans laquelle la sécurité, la sûreté et la protection des données représentent une priorité, réduisant ainsi les risques de l’erreur interne qui demeure la cause numéro un des incidents signalés à l’Information Commissioner’s Office.

Dans les grandes entreprises comme chez les petits fournisseurs, de nombreux employés peuvent adopter des comportements à haut risque pour la simple et bonne raison qu’ils ne voient pas pourquoi un pirate les prendrait pour cible. D’autres s’estiment hors de danger, car d’un point de vue statistique, les chances que cela tombe sur eux sont faibles ou nulles. Il est temps que cela change. Il faut apprendre aux utilisateurs à être vigilants, à se tenir sur leurs gardes lorsqu’ils travaillent en ligne et à prendre conscience des conséquences de leurs actes. Les entreprises et leurs personnels doivent également réaliser la valeur que représentent les décisions prises en tenant compte des questions de sécurité. Enfin, les attaques de la supply chain peuvent avoir un impact négatif considérable, non seulement sur leur cible ultime, mais également sur l’ensemble des entreprises avec lesquelles celle-ci interagit, en haut comme en bas de la chaîne. C’est la raison pour laquelle il est si important de prendre dès aujourd’hui les décisions qui s’imposent en matière de cybersécurité dans ces environnements, et de se préparer à évoluer à l’avenir à mesure qu’évoluent les risques et les menaces.

About Author

Doug Wylie

Directeur du secteur de l'industrie et de l'infrastructure au SANS Institute

Leave A Reply