Hausse des attaques de la chaîne d'approvisionnement : comment protéger votre entreprise ? - NET
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Hausse des attaques de la chaîne d’approvisionnement : comment protéger votre entreprise ? UN FLÉAU POUVANT INFLIGER D’ÉNORMES DOMMAGES FINANCIERS Dire que les 18 derniers mois étaient désagréables est un euphémisme. Avec tous les défis de la pandémie, ils ont été non seulement éprouvants, mais traumatisants pour plusieurs entreprises, tous secteurs confondus. Aujourd’hui, les moments les plus difficiles semblent derrière nous. Tout porte à croire que les entreprises peuvent reprendre leurs activités en toute sécurité dans cette nouvelle réalité. Malheureusement, ce n’est pas si simple que ça. Alors que la COVID-19 recule, un autre type de virus menace de plus en plus. Il s’agit d’un fléau pouvant infliger d’énormes dommages financiers. Nous parlons ici des attaques de la chaîne d’approvisionnement.
Qu’est-ce qu’une attaque de la chaîne d’approvisionnement?
Lors d’une attaque de la chaîne d’approvisionnement, les pirates s’infiltrent dans le réseau d’un fournisseur de
logiciels et utilisent un code malveillant pour compromettre le logiciel avant qu’il ne soit envoyé aux clients. Résultat
: ils créent une porte dérobée qui leur donne accès aux systèmes et données. Ils peuvent compromettre une
licence de logiciel dès l’achat ou compromettre un logiciel existant en s’infiltrant pendant une mise à jour. D’ailleurs,
c’est cette dernière approche qui avait été utilisée dans la célèbre attaque de la chaîne d’approvisionnement
Solorigate/Solarwinds. Les pirates avaient infiltré une liste de cibles de haute importance dont le Pentagone, le
Département de la Sécurité intérieure des États‑Unis, Microsoft, Cisco, Intel et autres. La brèche était si complexe
et multiforme que les experts l’ont qualifié du piratage le plus sophistiqué de tous les temps.
Exemples d’attaques à la chaîne d’approvisionnement
Même si l’attaque Solorigate/Solarwinds continue de faire les manchettes, plusieurs autres brèches de la chaîne
d’approvisionnement ont eu lieu entre-temps :
• En avril 2021, des pirates ont compromis un outil de développement logiciel vendu par une société du nom
de Codecov, qui leur a donné accès à des centaines de réseaux de victimes.
• En mai 2020, des chercheurs ont découvert un logiciel malveillant nommé Octopus Scanner qui était conçu
pour diffuser des codes de portes dérobées dans les composantes NetBeans des référentiels GitHub, sans
que les propriétaires légitimes du référentiel ne s’en rendent compte.
• De janvier à mars 2020, le Federal Bureau of Investigation (FBI) a émis des alertes au secteur privé concernant
des attaques de la chaîne d’approvisionnement impliquant le logiciel malveillant Kwampirs.
Ce ne sont que quelques exemples parmi les nombreuses attaques de la chaîne d’approvisionnement qui ont
eu lieu récemment. Et on prévoit une accélération au cours des prochains mois. Des recherches menées par
l’Identity Theft Resource Center (ITRC) ont montré qu’au premier trimestre de 2021, près de 140 entreprises ont
déclaré avoir été victimes d’une attaque de la chaîne d’approvisionnement, ce qui représente une hausse de 42
% par rapport au dernier trimestre de 2020.
Pourquoi les attaques de la chaîne d’approvisionnement font-elles
aussi peur?
Même si toutes les cybermenaces doivent être prises au sérieux, les attaques de la chaîne d’approvisionnement
sont particulièrement inquiétantes, et ce, pour plusieurs raisons.
4 défis de la sécurité du nuage en 2021 et comment les affronter 2Premièrement, plusieurs logiciels tiers (de gestion informatique, d’accès à distance, d’antivirus, etc.) ont besoin
de privilèges élevés pour fonctionner correctement. Comme le souligne la Cybersecurity and Infrastructure
Security Agency :
Même si des produits peuvent être efficaces avec des privilèges réduits, ils demandent, par défaut, les plus hauts
niveaux de privilèges au moment de l’installation pour garantir un maximum d’efficacité. Souvent, les clients
acceptent ces valeurs par défaut sans se poser de questions, ce qui ajoute de potentielles vulnérabilités. Comme ces
produits sont présents sur tous les systèmes d’un réseau, y compris les serveurs d’autorité et de gestion de domaine,
les logiciels malveillants qui pourraient s’y insérer fourniraient aux pirates un accès privilégié aux systèmes les plus
importants d’un réseau.
Deuxièmement, les logiciels tiers reposent sur une communication fréquente entre les fournisseurs et les clients.
Le but est d’offrir des mises à jour, de faire des correctifs et d’améliorer constamment la sécurité. Ironiquement,
ce sont ces mêmes interactions qui peuvent être exploitées par les pirates qui en profitent pour déployer des
mises à jour chargées de logiciels malveillants. Ces derniers peuvent même aller jusqu’à empêcher une mise à
jour de sécurité.
Troisièmement, les pirates informatiques utilisent les attaques de la chaîne d’approvisionnement pour cibler les
entreprises les plus lucratives et les mieux sécurisées. Nick Weaver, chercheur en sécurité à l’Institut international
d’informatique de l’UC Berkeley, disait : « Les attaques de la chaîne d’approvisionnement sont indirectes. Les
vraies cibles ne sont pas celles que les pirates attaquent. Si leurs vraies cibles sont très bien sécurisées, la chaîne
d’approvisionnement devient alors un des points d’entrée les plus faciles. »
Finalement, la quatrième raison (qui est en fait une extension de la troisième raison, mais qui a besoin
d’être plus approfondie), c’est que, par rapport à d’autres types de cyberattaques, les attaques de la chaîne
d’approvisionnement offrent aux pirates une économie d’échelle. Plutôt que de tenter de pirater des milliers
d’entreprises, ils essayent d’attaquer un seul fournisseur. Dans le cas où cela fonctionne, ils en profitent pour
utiliser la porte dérobée et pénétrer différentes cibles sur une longue période. Par exemple, c’est en 2020 que les
chercheurs de FireEye ont découvert l’attaque de la chaîne d’approvisionnement Solorigate/Solarwinds, mais de
nouvelles preuves suggèrent qu’elle aurait commencé près de deux ans plus tôt, en janvier 2019.
Comment prévenir les attaques de la chaîne d’approvisionnement?
À ce sujet, il y a de bonnes et de mauvaises nouvelles. Fidèles à nos habitudes, nous allons d’abord vous révéler
les mauvaises.
Aucune solution miracle n’élimine à 100 % la possibilité d’attaques de la chaîne d’approvisionnement. Comme
le mentionnait le cabinet de conseil Booz|Allen|Hamilton : « Les adversaires sont toujours à la recherche de
4 défis de la sécurité du nuage en 2021 et comment les affronter 3nouvelles façons d’infiltrer les entreprises, que ce soit en trouvant des points d’entrée via des fournisseurs, des
vendeurs tiers, etc. »
La bonne nouvelle, c’est qu’étant donné les conséquences potentielles causées par une telle attaque, les
entreprises peuvent (et doivent) être proactives pour réduire leur vulnérabilité. Voici donc nos huit conseils :
1. Supposer qu’une violation s’est déjà produite
Les entreprises ne peuvent pas réagir n’importe comment face à une potentielle violation. Elles doivent, au
contraire, supposer qu’elle s’est déjà produite. Cela signifie d’être proactif et d’effectuer les bons investissements
(expliqués en détail plus loin). Comme le conseille la société de cybersécurité UpGuard : « Ce subtil changement
d’état d’esprit favorise le déploiement de stratégies actives pour tous les vecteurs d’attaque vulnérables d’une
entreprise. » À ce sujet, le cabinet de conseil Infused Innovation précise : « Adopter cet état d’esprit (qu’une
violation peut survenir n’importe quand) signifie qu’on s’attend à ce que votre périmètre d’identité ou de réseau
échoue à un moment ou un autre. Même en activant l’authentification multifacteur et l’authentification par
certificat 802.1x sur les appareils, il faut continuellement supposer qu’une attaque par échange de carte SIM ou
qu’un vol de certification se produiront. »
2. Faire un examen approfondi des fournisseurs
Les entreprises doivent non seulement demander, mais exiger de leurs fournisseurs qu’ils suivent continuellement
les meilleures pratiques de sécurité. Selon le directeur principal de l’infrastructure, de la sécurité, du support et
des contrôles à la Springfield Clinic, Nick Fuchs, ils devraient notamment :
• Tester régulièrement la force de leur résilience en matière de cybersécurité.
• Fournir la preuve de la dernière analyse de code source ou de la pénétration de l’application.
• Déployer des pare-feux d’application ou des segmentations de réseau qui restreignent l’accès aux
programmes d’applications ou aux codes sources des objets.
• Se conformer aux politiques ou réglementations pertinentes telles que SOC 2, RGPD, CCPA, NIST, COBIT et
ISO-27001/2, et fournir la preuve d’une certification à jour.
• Posséder un programme de sensibilisation à la sécurité pour les employés.
Comme le mentionnait TechTarget : « Si vos partenaires ont mis en place ces meilleures pratiques de sécurité
et les appliquent en permanence, vous pouvez être un peu plus confiant envers votre fournisseur. Cependant,
plusieurs fournisseurs n’en sont pas encore à ce niveau. Il est donc important d’évaluer les vôtres de près et
trouver ceux qui mettent en place ce genre de mesures. »
3. Adopter l’approche Confiance zéro
L’approche Confiance zéro signifie que personne n’est automatiquement approuvé et que toute activité
4 défis de la sécurité du nuage en 2021 et comment les affronter 4réseau est, par défaut, considérée comme malveillante. Concrètement, travailler avec la mentalité « ne jamais
faire confiance, toujours vérifier d’abord » signifie que les entreprises devraient se concentrer sur les étapes et
stratégies suivantes :
• Remplacer tous les services et systèmes hérités non authentifiés par des technologies infonuagiques.
• Mettre en œuvre une architecture Confiance zéro en fonction du déplacement des données sur les réseaux
et la manière dont les applications et les utilisateurs accèdent aux informations sensibles.
• Utiliser l’authentification multifacteur pour vérifier les connexions sur le réseau.
• Appliquer les politiques relatives aux appareils en réorganisant les utilisateurs par groupes et rôles.
• Utiliser le dé-provisionnement automatique pour les employés quittant l’entreprise ou pour les sous-traitants.
• Ajouter l’option d’effacer, de verrouiller et de désinscrire les appareils volés/perdus.
• Mettre régulièrement à jour les droits des utilisateurs finaux en fonction des modifications apportées aux
rôles/tâches ainsi que les modifications apportées aux politiques de sécurité en vigueur et aux exigences de
conformité.
• Éduquer et former les utilisateurs finaux pour améliorer leurs bonnes pratiques en matière de sécurité.
4. Utiliser une solution de gestion des accès privilégiés (PAM)
Une solution PAM peut aider à bloquer les pirates qui tentent de suivre une trajectoire d’attaque commune
(aussi connue sous « voie privilégiée »). Celle-ci débute par la pénétration du périmètre, puis compromet les
périphériques et les points de terminaison privilégiés et se termine par une violation de données. Pour être
efficace, une solution PAM doit prendre en charge tous les éléments suivants :
• Surveillance des sessions en direct.
• Contrôle d’accès basé sur les rôles.
• Rapports et journalisation complets.
• Authentification multifacteur.
• Notifications en temps réel.
Elle doit, en plus de ça, être facile à utiliser, à configurer et à intégrer dans une solution de connexion et de gestion
à distance. Tout ça, dans le but de créer un « panneau de verre unique », centralisé et sécurisé pour la gestion
des identités et des accès.
5. Appliquer le principe du moindre privilège
Le principe du moindre privilège signifie que les utilisateurs finaux n’obtiennent que l’accès dont ils ont besoin
pour effectuer leurs tâches quotidiennes. Si des privilèges élevés sont nécessaires pour un projet ou une activité
4 défis de la sécurité du nuage en 2021 et comment les affronter 5spécifique, ils doivent être accordés temporairement, puis supprimés immédiatement une fois qu’ils ne sont plus
nécessaires. Le principe du moindre privilège fonctionne de pair avec une solution PAM pour limiter, contrôler et
surveiller l’utilisation des comptes privilégiés.
6. Utiliser les Honeytokens
Un honeytoken, c’est une sorte de leurre. Un compte privilégié dormant est créé et surveillé. Si des pirates tentent
de s’introduire dans le compte, une alerte est déclenchée, indiquant que l’environnement a été piraté.
7. Mettre en place une défense en profondeur
La défense en profondeur est une approche selon laquelle on utilise plusieurs couches de protection pour freiner
les pirates tandis qu’ils tentent de se frayer un chemin jusqu’au périmètre. Comme le soulignait l’Institut SANS :
Aucune mesure de sécurité unique ne peut protéger adéquatement un réseau ; il existe tout simplement trop
de méthodes à la disposition d’un pirate pour que ça fonctionne… Mettre en place une stratégie de défense en
profondeur va, on l’espère, vaincre ou décourager toutes sortes d’attaquants. Les pare-feux, les systèmes de
détection d’intrusion, les utilisateurs bien formés, les politiques et procédures, les réseaux commutés, les mots de
passe forts et une bonne sécurité physique sont des exemples de mesures qui forment une stratégie de sécurité
efficace. Pris individuellement, ces mécanismes ont peu de valeur, mais mis en œuvre ensemble, ils deviennent
beaucoup plus efficaces.
8. Mettre en œuvre la séparation des tâches
Conçue pour réduire les risques de menaces internes (les utilisateurs malveillants), la séparation des tâches vient
de l’idée que, lorsque plusieurs personnes sont impliquées dans un flux de travail sensible, il y a moins de risque
qu’un individu manipule ou abuse des ressources de l’entreprise. CSOOnline propose d’ailleurs un test simple,
mais efficace, pour vérifier si une stratégie et un processus de séparation des tâches fiables sont en place :
Demandez-vous d’abord s’il y a quelqu’un qui peut modifier ou détruire vos données financières sans que personne
s’en aperçoive. Deuxièmement, demandez-vous si quelqu’un peut voler des informations sensibles. Troisièmement,
demandez-vous si une personne a une influence sur la conception, la mise en œuvre et la communication des
contrôles. Les réponses à toutes ces questions devraient être « non ». Si la réponse à l’une d’entre elles est « oui », vous
devez repenser votre organigramme pour vous assurer de mettre en place une séparation des tâches appropriée.
Le mot de la fin
Comme le mettait en garde la Cyber Risk Alliance : « Presque tous les chercheurs en sécurité s’accordent pour
dire que davantage [d’attaques de la chaîne d’approvisionnement] vont se produire. » Les entreprises qui vont
4 défis de la sécurité du nuage en 2021 et comment les affronter 6adopter les recommandations décrites ci-dessus, surtout la première qui consiste à supposer qu’une violation
a déjà eu lieu, réduisent considérablement leurs risques d’en être victime. Quand on pense que le coût moyen
d’une violation de données est estimé à plus de 8,19 millions de dollars par incident et que 60 % des petites et
moyennes entreprises (PME) disparaissent dans les six mois suivant une violation de données, réduire le risque
d’attaque par la chaîne d’approvisionnement devient non seulement utile, mais essentiel.
4 défis de la sécurité du nuage en 2021 et comment les affronter 7Vous pouvez aussi lire
