Les traumatismes laissés par les attaques SunBurst sur SolarWinds et Log4Shell sur Log4J incitent DSI et RSSI à se repencher sur la cybersécurité de leur supply chain logicielle. Mais pour bien appréhender cette cybermenace, ce nouveau cyber-risque, il est important d’en comprendre les rouages.

Par Xavier Duros, Office of the CTO Check Point

Depuis quelques années, la chaîne d’approvisionnement est devenue l’une des principales cibles des cybercriminels. Bien que cette tendance soit due à un certain nombre de facteurs, la cyber pandémie est sans aucun doute le plus important. De toute évidence, la COVID-19 a transformé l’entreprise moderne, poussant nombre d’entre elles vers le télétravail et l’adoption du cloud computing alors qu’elles n’y étaient peut-être pas totalement préparées. Les équipes de sécurité sont débordées et incapables de suivre le rythme. Selon le rapport sur la sécurité 2022 , les attaques de la chaîne d’approvisionnement ont connu une augmentation spectaculaire de 650 % par rapport à l’année précédente en 2021.

Parmi les exemples d’attaques de la Supply Chain très médiatisées, citons SolarWinds. Il s’agissait d’un groupe de cybercriminels qui a intégré une porte dérobée dans les mises à jour du produit de surveillance du réseau Orion. Les clients de l’entreprise qui ont effectué cette mise à jour malveillante ont été victimes de vols de données et ont été confrontés à d’autres problèmes de sécurité. Autre exemple, le groupe de ransomware REvil qui a exploité Kaseya, un éditeur de logiciels destinés aux fournisseurs de services gérés (MSP), pour infecter plus de 1 000 clients avec un ransomware. Les cybercriminels sont allés jusqu’à demander une rançon de 70 millions de dollars en échange des clés de décryptage à tous les utilisateurs concernés.

Déroulement d’une attaque de la chaîne d’approvisionnement

Ce type d’attaque exploite les relations de confiance qui existent entre différentes organisations. Il va de soi que chaque entreprise fait implicitement confiance aux autres puisqu’elle installe et utilise ses logiciels sur ses réseaux ou travaille avec elles en tant que prestataire.
Ce type de menace cible le maillon le plus faible d’une chaîne de confiance. Si une entreprise dispose d’une cybersécurité solide, mais que son fournisseur est peu fiable, c’est lui que les cybercriminels cibleront. Une fois qu’ils ont réussi à pénétrer dans le réseau de ce fournisseur, les attaquants peuvent accéder au réseau plus sûr par le biais de ce lien.

Les cybercriminels exploitent les vulnérabilités de la Supply Chain pour répandre des logiciels malveillants

Il est courant qu’une attaque de la chaîne d’approvisionnement cible les MSP (fournisseurs de services gérés) car ils ont un accès étendu aux réseaux de leurs clients, un atout très précieux pour un attaquant. Après avoir exploité le MSP, l’attaquant peut facilement s’étendre aux réseaux de ces clients. De plus, en exploitant leurs vulnérabilités, ces attaquants ont un meilleur impact et peuvent accéder à des zones qui seraient bien plus difficiles à atteindre s’ils le faisaient directement.

Quand l’attaquant a réussi à obtenir l’accès, il peut alors procéder à tout autre type de cyberattaque, notamment :

> Violation des données : Les défaillances de la chaîne d’approvisionnement sont couramment invoquées pour effectuer des violations de données. À titre d’exemple, le piratage de SolarWinds a exposé les données sensibles de plusieurs organisations des secteurs public et privé.

> Attaques de logiciels malveillants : Les cybercriminels exploitent souvent les vulnérabilités de la chaîne d’approvisionnement pour distribuer des malwares dans l’entreprise cible. SolarWinds comprenait la livraison d’une porte dérobée malveillante, et l’attaque sur Kaseya a entraîné un ransomware conçu pour l’exploiter.

Les meilleures techniques pour identifier et limiter les attaques de la chaîne d’approvisionnement

Malgré le danger que représente cette menace, il existe des techniques destinées à protéger une entreprise :

1- Instaurer une politique du moindre privilège :
De nombreuses organisations attribuent un nombre excessif d’accès et de permissions à leurs employés, partenaires et logiciels. Ce surplus d’autorisations facilite les attaques de la chaîne d’approvisionnement. Il est donc impératif de recourir à une politique du moindre privilège et d’attribuer à tous les membres de l’entreprise, ainsi qu’au logiciel lui-même, les autorisations dont ils ont besoin pour effectuer leur propre travail.

2- Segmenter le réseau :
Les logiciels tiers et les organisations partenaires n’ont pas besoin d’un accès illimité à tous les recoins du réseau de l’entreprise. Pour écarter tout risque, il est conseillé de recourir à la segmentation du réseau pour le diviser en zones selon les différentes activités. De cette façon, si une attaque de la chaîne d’approvisionnement compromet une partie du réseau, le reste restera protégé.

3- Appliquer les pratiques DevSecOps :
En intégrant la sécurité dans le cycle de vie du développement, il est possible de détecter si un logiciel, tel que les mises à jour d’Orion, a été modifié de manière malveillante.

4- Prévention automatisée des menaces et chasse aux risques :
Les analystes du centre des opérations de sécurité (SOC) doivent se protéger contre les attaques dans tous les environnements organisationnels, y compris les points d’extrémité, le réseau, le cloud et les appareils mobiles.

Dans un paysage numérique de plus en plus constitué d’interconnexions complexes entre fournisseurs, partenaires et clients, le risque de vulnérabilité augmente de façon exponentielle et les entreprises ne peuvent se contenter d’une sécurité médiocre. Le coût des ransomwares et de la correction peut se chiffrer en millions, pourtant c’est quelque chose qui peut être évité en adoptant une approche proactive de la sécurité et en ayant la bonne technologie en place pour empêcher les logiciels malveillants de pénétrer dans le réseau dans un premier temps.


À lire également :

> Attaques sur la Supply Chain : les logiciels d’éditeurs et le cloud deviennent des cibles privilégiées

> Attaques Supply Chain : La faille Log4Shell affole la toile… Et devrait aussi vraiment interpeler tous les DSI…

> Attaques à la Supply Chain : Sunburst, la cyberattaque qui bouleverse le monde…

> Ukraine : Les DSI à l’heure de la Cyber-Guerre !

> Les trois quarts des containers sont hautement vulnérables

> En 2021, une grande entreprise sur deux a subi au moins une cyber-attaque réussie.

> Michelin optimise sa supply chain grâce au jumeau numérique

> L’automatisation de la Supply Chain, un enjeu important pour 80% des entreprises françaises