Image
16 août 2022
Ne pas ouvrir les liens dans un e-mail provenant d'un expéditeur inconnu ou s'assurer d'avoir des mots de passe forts ne sont que quelques moyens de se protéger des cyberattaques. Ces actions sont maintenant devenues des habitudes pour la plupart d’entre nous.
Malheureusement, il existe aujourd’hui de nouvelles variantes de cyberattaques : les attaques contre la supply chain. Selon le National Institute of Science and Technology (NIST) des États-Unis, on estime que 80 % des cyberattaques dans le monde se produisent par le biais des supply chains. Ces attaques sont plus courantes que vous ne le pensez, et ce qui est effrayant, c'est qu'il est beaucoup plus difficile de s'en protéger (et de protéger les autres). En effet, dans le cas des attaques de la supply chain, vous n'êtes généralement pas attaqué directement. L'attaque passe le plus souvent par votre fournisseur, ou par le fournisseur de votre fournisseur, ainsi de suite.
Qu'est-ce qu'une attaque de la supply chain ?
Une attaque de la supply chain se produit lorsqu'un pirate pénètre dans un système par l'intermédiaire d'un partenaire ou d'un fournisseur externe et accède ainsi à vos données et à vos systèmes.
En général, les supply chains sont constituées de vastes réseaux complexes de fabricants, de distributeurs, de détaillants et autres, qui sont tous susceptibles d'interagir numériquement. Si les pirates parviennent à s'infiltrer dans un seul de ces nombreux maillons, ils peuvent rapidement avoir accès à beaucoup d'autres. Les chaînes d'approvisionnement sont comme des magasins de bonbons pour les pirates, et ils sont toujours à la recherche de nouveaux moyens plus sophistiqués de frapper.
Les attaques contre la supply chain constituent une menace émergente, et les fournisseurs de logiciels en sont la cible principale. C'est l'une des raisons majeures pour lesquelles TIE Kinetix estime qu'il est extrêmement important de garantir une plateforme sécurisée pour l'échange de documents.
Attaque de la supply chain contre SolarWinds
Prenons cet exemple concret. Il ne s'agit pas exactement d'un cas d'échange de documents, mais certaines méthodes d'échange, comme le SMTP, constituent une menace similaire pour ceux qui envoient et reçoivent des factures et d'autres documents commerciaux par courrier électronique. Voici ce qui s'est passé :
Entre mars et juin 2020, Orion, un produit de surveillance de réseau populaire de SolarWinds, a sorti une nouvelle mise à jour logicielle. Cette mise à jour contenait un cheval de Troie. Comme dans le mythe grecque dans lequel Ulysse se cache avec ses soldats dans un cheval de bois pour envahir la ville de Troie, la mise à jour ne semblait pas poser de problème à première vue ; le logiciel malveillant contenu dans la mise à jour était déguisé.
Ce qui s'est passé, c'est que les attaquants avaient pris le contrôle de l'infrastructure de SolarWinds, ce qui leur a permis de dissimuler des logiciels malveillants dans les mises à jour envoyées aux clients. Parmi ces clients figuraient 425 entreprises du classement américain Fortune 500, les dix plus grandes entreprises de télécommunications des États-Unis, les cinq branches de l'armée américaine, le Pentagone, le Département d'État, la NASA, le Département de la justice, le Bureau du Président des États-Unis, les cinq plus grands cabinets comptables des États-Unis et des centaines d'universités et d'établissements d'enseignement supérieur du monde entier !
Les documents "numériques" ne sont pas tous sécurisés
Les supply chains deviennent de plus en plus complexes, ce qui les expose à des risques supplémentaires. Depuis le début de la pandémie de COVID, et même avant cela, un nombre croissant d'organisations publiques et privées ont commencé à digitaliser leurs chaînes d'approvisionnement. Par conséquent, de plus en plus d'informations commerciales critiques deviennent également digitales. Toutefois, il est important de noter que les documents "numériques" ne sont pas tous aussi sûrs.
Par exemple, il est devenu légal d'envoyer des factures PDF par courrier électronique il y a environ 10 ans. Mais ce n'est pas parce que cette pratique est encore autorisée aujourd'hui qu'elle est sûre. En effet, le courrier électronique utilise le protocole SMTP (Simple Mail Transfer Protocol), et ce protocole de communication est vulnérable aux attaques. En développant légèrement ce point, on peut dire que l'envoi de documents PDF et/ou XML par courrier électronique présente de nombreux risques pour la sécurité.
Comment se protéger contre une attaque de la supply chain ?
Malheureusement, il n'existe pas de solution unique et directe pour prévenir les attaques de la supply chain. Cependant, il existe certaines précautions que vous pouvez prendre pour minimiser les risques d'attaque et leur impact global sur vous et vos partenaires commerciaux.
Comme nous l'avons déjà mentionné, les attaques de la supply chain peuvent se produire via la communication digitale que vous avez avec vos fournisseurs, vos clients et vos partenaires. Il est donc important de s'assurer que tous vos échanges critiques, notamment ceux qui contiennent des données financières, sont aussi sécurisés que possible. Voici quelques mesures que vous pouvez mettre en place :
1. Optez pour des réseaux d'échange de documents et des protocoles de communication sécurisés. Évitez d'envoyer des documents professionnels par courrier électronique. Notre solution PDF-2-FLOW permet l'échange sécurisé de documents commerciaux au format PDF et XML via notre application TIE Communications. C'est une alternative beaucoup plus sûre que l’e-mail, et elle est facile à installer.
2. Comprendre les risques liés à votre supply chain. Les risques dans votre supply chain peuvent prendre de nombreuses formes. Pour éviter les violations de données, assurez-vous d'une bonne collaboration avec vos partenaires commerciaux et communiquez clairement vos exigences de sécurité.
3. Connaissez vos partenaires commerciaux. Dans la lignée du point précédent, il est important de savoir exactement qui a accès à quelles informations, systèmes et données (sensibles). Cela fait partie de la gestion des risques : vous devez savoir comment vos partenaires traitent leurs propres données et décider par vous-même si cela correspond à vos attentes.
4. Soyez critique à l'égard des nouveaux fournisseurs de services et partenaires commerciaux. Effectuez toujours une analyse des risques et évaluez les mesures de sécurité que vos (nouveaux) partenaires ou fournisseurs (de logiciels) prennent pour protéger leurs données commerciales. Et n'oubliez pas de suivre la même procédure concernant les exigences qu'ils fixent pour leurs partenaires et/ou fournisseurs.
5. Planifiez votre réponse en cas d'attaque de la supply chain. Si une cyberattaque se produit, assurez-vous d'avoir un plan d'action clair. Comme le dit Cervantes, la préparation constitue la moitié de la victoire, et c'est d’autant plus vrai lorsqu'il s'agit d'attaques contre la supply chain. Plus vous êtes préparé et conscient des risques, plus vous pouvez les détecter et les résoudre rapidement, non seulement pour vous-même, mais aussi pour tous vos partenaires commerciaux.
