Dans son rapport annuel, l’ANSSI s’inquiétait de l’explosion des attaques à la Supply Chain et du manque de préparation et de visibilité des entreprises en la matière. La chaîne d’approvisionnement logicielle s’est révélée un risque majeur… Mais l’Internet étendu des objets, le XIoT, constitue lui-aussi un nouveau risque sur la supply chain.

Par Emmanuel Le Bohec, Directeur France de Claroty, spécialiste de la cybersécurité industrielle.

L’année 2021 pourrait bien entrer dans l’histoire comme celle qui a enregistré le plus grand nombre de cyberattaques sur la supply chain logicielle. Alors que nous avions commencé l’année en cherchant encore à comprendre l’impact des attaques visant SolarWinds et Accellion découvertes en décembre 2020, nous avons assisté à une vague d’attaques similaires contre des logiciels vendus ou distribués par des fournisseurs et des entreprises tels que Kaseya, Microsoft et, plus récemment, contre la bibliothèque Open Source Log4j distribuée par l’Apache Software Foundation.

Cette recrudescence des attaques a suscité de nombreuses analyses, dont un rapport publié par l’Agence de l’Union européenne pour la cybersécurité (ENISA) en juillet 2021, qui prévoyait une multiplication par quatre des attaques contre la chaîne d’approvisionnement logicielle en 2021 par rapport à 2020, les cybercriminels se tournant vers des cibles transfrontalières de plus grande envergure. Ces attaques n’ont toutefois rien de nouveau.

Les cybercriminels profitent depuis longtemps des maillons faibles de la supply chain pour s’infiltrer dans les autres organisations la constituant 

En 2013, le géant américain de la distribution Target était victime d’une cyberattaque via sa supply chain retentissante. Les attaquants avaient utilisé des informations d’identification dérobées auprès d’un fournisseur de systèmes de climatisation pour accéder au réseau de Target. Ils avaient ainsi pu se déplacer latéralement sur le réseau pour au final dérober les informations de cartes bancaires et les données personnelles de dizaines de millions de clients.

Quelques années plus tard, le ransomware NotPetya, autre attaque via supply chain tristement célèbre, a d’abord infecté les logiciels d’un cabinet comptable ukrainien avant de toucher des multinationales, engendrant des dommages estimés à 10 milliards de dollars.

Cependant, les attaques qui profitent des vulnérabilités de la bibliothèque Log4j d’Apache pour s’en prendre à la supply chain révèlent une tendance encore plus préjudiciable et lancent une vague présentant un degré de gravité et de priorité bien différents. Les vulnérabilités inhérentes aux applications Java courantes permettent aux cybercriminels de compromettre tous les types de systèmes cyberphysiques (CPS) et d’actifs connectés, et de mettre ainsi nos vies et nos moyens de subsistance en danger.

Les entreprises, les environnements industriels et le milieu médical sont toujours plus tributaires de systèmes CPS interconnectés. Ce phénomène s’amplifiera dans la mesure où nous dépendons de plus en plus de l’accès en ligne aux systèmes physiques pour des raisons d’automatisation, de contrôle, d’efficacité et de commodité.

Ainsi, nous devons prendre en considération les équipements de technologie opérationnelle (OT) qui prennent en charge, dans les domaines industriels, des processus de fabrication critiques, dans les bâtiments les systèmes d’automatisation (climatisation, ascenseurs, détection incendie notamment) et dans les hôpitaux les équipements d’imagerie médicale, mais aussi à tous les appareils de l’Internet des objets (IoT), de l’IoT industriel (IIoT) et de l’Internet des objets médicaux (IoMT) auxquels ils se connectent.

Cet univers en constante expansion de l’Internet étendu des objets (XIoT) voit émerger de nouveaux vecteurs d’attaque, car nombre de ces systèmes n’ont pas nécessairement été conçus pour coexister de manière transparente.

Que pouvons-nous faire pour gérer les risques ?

Les cyber-risques qui touchent la supply chain sont complexes. Ils s’étendent à l’ensemble du cycle de vie d’un produit : conception, fabrication, distribution, déploiement, maintenance et mise au rebut. Plus le cycle de vie est long et complexe, plus les cybercriminels ont de possibilités de lancer un exploit, en ciblant les éléments les moins sécurisés qui composent la chaîne. Et comme les supply chain sont souvent mondiales, et qu’elles englobent une multiplicité de fournisseurs opérant à différents niveaux, la responsabilité de la sécurité ne peut pas être du ressort d’une seule et même organisation. Chaque niveau doit traiter les risques de manière appropriée afin de réduire les menaces sur la chaîne d’approvisionnement logicielle.

C’est pourquoi, lorsqu’ils élaborent leurs plans de continuité de l’activité, les responsables IT/sécurité doivent regarder au-delà de leur propre entreprise. Il leur faut tenir compte des mesures de sécurité mises en place par leurs fournisseurs immédiats, et de la stratégie de gestion et d’atténuation des risques que ceux-ci appliquent à leur tour à leur réseau étendu de fournisseurs. Dans ce contexte, 6 conseils pratiques pour les y aider :

1- Communication et évaluation : la gestion de ce risque critique suppose d’abord de déterminer les responsabilités en interne pour les achats, et de vérifier la sécurité des processus d’un partenaire. Il faudra pour ce faire solliciter les équipes juridiques, en plus des directeurs de la technologie et des responsables métier, répartis dans les différentes unités commerciales et les différents secteurs géographiques. Les décideurs doivent disposer de données de veille sur la cybercriminalité qui touche la supply chain afin de prendre des décisions avisées sur les risques impactant leur activité. La sécurité des achats et la protection des données doivent aller de pair avec des communications efficaces avec les partenaires et les parties prenantes en interne.

2- Visibilité détaillée sur tous les actifs connectés, y compris les systèmes cyberphysiques : pour bénéficier d’une meilleure visibilité et détecter les menaces qui pèsent sur les actifs des sites industriels (OT/IIoT), des environnements médicaux (IoMT) et des entreprises (IoT), envisagez d’adopter une solution de cybersécurité dédiée chargée de sécuriser les CPS des organisations connectées, capable d’établir un inventaire exhaustif et détaillé.

3- Renseignement sur les menaces et vigilance face aux alertes : tenez-vous au courant des dernières informations sur les menaces émergentes et procédez au tri des nouvelles alertes. Le CERT-FR (ANSSI) a émis un bulletin sur les vulnérabilités d’Apache Log4J, tout comme le CISA, le FBI, la NSA aux US, les agences de sécurité des autres pays de l’alliance des services de renseignement Five Eyes (Australie, Canada, Nouvelle-Zélande et Royaume-Uni), avec conseils concrets pour aider les acteurs de la sécurité à se protéger contre ce type d’attaques.

4- Renforcer les coalitions en matière de cybersécurité : compte tenu de l’urgence de la situation actuelle, de nombreux dirigeants et membres de conseils d’administration sont désormais sensibles aux préoccupations opérationnelles. En outre, ils ont davantage conscience que des technologies et processus de cyberdéfense appropriés sont essentiels pour garantir la disponibilité, la fiabilité et la sécurité. En tant que responsable de la sécurité, vous avez tout intérêt à profiter de cette conjoncture pour obtenir l’adhésion des différentes strates hiérarchiques, et ainsi soutenir les initiatives actuelles et futures en matière de cybersécurité.

5- Collaboration tout au long de la chaîne d’approvisionnement : la chaîne d’approvisionnement fait partie intégrante de l’écosystème de votre entreprise. En tant que telle, elle doit faire partie intégrante de votre écosystème de sécurité et bénéficier du même niveau de défense. Les solutions basées sur le Cloud simplifient l’établissement de connexions sécurisées avec les principaux partenaires de la supply chain. Elles sont généralement plus sûres, plus faciles à mettre à jour et se voient plus rapidement implémenter de nouvelles fonctionnalités. Mais même si, pour des raisons de conformité réglementaire, la migration vers le Cloud n’est pas encore possible pour votre secteur d’activité, vous pouvez néanmoins poser des jalons, et partager rapports et enseignements sur les vulnérabilités et l’hygiène en matière de cybersécurité avec les partenaires de votre supply chain.

6- Développement logiciel sécurisé : si vous envisagez d’utiliser des composants logiciels tiers, il est essentiel d’analyser attentivement leur code pour identifier et analyser toute vulnérabilité potentielle. En intégrant formellement les meilleures pratiques de sécurité dans votre processus de développement logiciel, les fournisseurs et les développeurs peuvent considérablement réduire les risques liés à la chaîne d’approvisionnement.

Les attaques contre la chaîne d’approvisionnement n’ont rien de nouveau, mais sont en très forte augmentation. Et si le XIoT présente des avantages pour les entreprises, il accroît également les risques. Heureusement, il existe des mesures que vous pouvez prendre pour atténuer les risques, et le moment est propice pour agir rapidement.


À lire également :

Attaques de la Supply Chain : Comment les cybercriminels exploitent la confiance qui existe entre les organisations ?

L’ANSSI publie son rapport annuel sur la menace informatique en 2021… et il n’est pas rassurant !

Cybersécurité : 10 prévisions pour 2022

Cybersécurité : les logiciels d’éditeurs et le cloud deviennent des cibles privilégiées

Le jeu collectif en cybersécurité est une urgence absolue

Comment rendre la cybersécurité vraiment agile

L’automatisation de la Supply Chain, un enjeu important pour 80% des entreprises françaises