Définition Attaque Supply Chain

L’attaque Supply Chain est une cyberattaque sournoise. Les attaquants cherchent à atteindre leur cible en passant par leurs fournisseurs. Aussi appelée attaque contre la chaîne d’approvisionnement, elle se montre redoutable, car difficilement décelable. L’histoire a, en plus, démontré sa redoutable efficacité avec l’attaque SolarWinds. Pour réussir, ce type d’attaque vise les maillons faibles d’une chaîne afin d’atteindre ses victimes. Elle met à mal les relations de confiance établies entre chaque partenaire. Face à cette menace croissante, des mesures de sécurité sur toute la chaîne doivent être mises en place.

Qu’est-ce qu’une attaque sur la supply chain ?

Une attaque supply chain, appelée aussi attaque de la chaîne d’approvisionnement ou attaque de tiers, est une cyberattaque redoutable. Chaque organisation fait appel à des partenaires tiers, notamment pour s’équiper en logiciels et applications ou pour proposer un service à ses clients. Un client peut donc utiliser différents programmes issus de plusieurs éditeurs pour créer sa propre solution. Cette chaîne d’approvisionnement se compose d’éditeurs, de prestataires, de sous-traitants, etc.

Tous ces acteurs disposent de leurs propres stratégies de sécurité plus ou moins efficaces. Un pirate exploite les vulnérabilités de l’un d’entre eux et peut alors s’introduire dans la chaîne d’approvisionnement et dans le produit final. Il ne cherche pas à pirater les intervenants tiers. Ils sont un moyen d’atteindre indirectement une cible finale plus difficile à attaquer. Dans le cas d’une attaque supply chain, il est très compliqué de savoir quel outil ou quel fournisseur a été compromis.

Comment se déroule une supply chain attack ?

L’attaque supply chain se déroule en plusieurs étapes. Si elle se montre si efficace, ce n’est pas uniquement parce qu’elle est difficile à détecter. C’est aussi parce que les attaquants ont réalisé un gros travail d’investigation en amont pour atteindre leur cible principale.

La reconnaissance des fournisseurs tiers de la cible principale

Les attaquants disposent déjà d’une cible principale qu’il souhaite attaquer. Il s’agit généralement d’un grand groupe, comme Microsoft par exemple, qui vend ses solutions à de nombreuses entreprises, organisations, institutions, etc. Le pirate informatique cherche ainsi tous les fournisseurs de logiciels et les prestataires travaillant avec sa cible. Une fois la liste de ces acteurs établie, il s’intéresse ensuite à chacun d’entre eux.

Compromission d’un fournisseur tiers et implantation d’un logiciel malveillant

Son deuxième objectif est de trouver le partenaire le plus vulnérable pour entrer dans son système. Il utilise alors des méthodes de cyberattaques courantes pour déployer un logiciel malveillant. Il peut lancer une campagne de phishing sur les employés de l’entreprise, exploiter une faille de sécurité dans le code d’un programme, faire de l’ingénierie sociale, etc.

Le logiciel malveillant n’est pas le virus final qui risque de compromettre la cible principale. Il sert de porte d’entrée dans le code source de la solution, pour pouvoir ensuite réaliser une attaque de plus grande envergure.

La propagation de l’attaque vers la cible finale

Une vulnérabilité d’un logiciel tiers est une porte d’entrée dans les systèmes d’information de la cible finale. Les attaquants ont plusieurs solutions. Soit ils introduisent un logiciel malveillant se répandant en cascade à l’ensemble des clients de sa principale victime. Soit ils restent dans son système pour l’attaquer uniquement par ce lien. Dans tous les cas, les pirates cherchent à voler des données, à obtenir de l’argent par le biais de ransomware, à espionner ou à saboter l’activité.

Quelques exemples d’attaques de supply chain

Si les attaques sur la chaîne d’approvisionnement se montrent si redoutées, c’est parce que de nombreux exemples ont prouvé par le passé leur efficacité. Toutes ces attaques ont eu le mérite d’une prise de conscience par tous les acteurs d’une chaîne d’approvisionnement. Se protéger avec des solutions de sécurité plus efficaces est indispensable.

SolarWinds en 2020

L’attaque SolarWinds est la plus marquante dans l’histoire récente de la cybersécurité. Les attaquants se sont introduits dans le logiciel Orion et ont intégré un programme malveillant dans une mise à jour de l’outil. Tous les clients utilisant cette solution de gestion ont récupéré un malware en pensant réaliser une mise à jour traditionnelle de sécurité. Les pirates ont ainsi installé des portes d’entrée dans tous les systèmes, accédant à des données sensibles. Cette attaque est considérée comme l’une des plus graves de l’histoire de la cybersécurité.

NotPetya en 2017

Des attaquants russes ont introduit un ransomware dans une mise à jour d’un logiciel de comptabilité. Tous les clients utilisateurs du produit ont vu leurs données inutilisables. Les hackers ont récupéré les rançons sans jamais rendre l’accès aux données. Des clients comme FedEx ou Merck ont été impactés.

CCleaner en 2017

Des hackers ont compromis les serveurs de distribution du logiciel CCleaner, réputé dans le nettoyage des ordinateurs. Microsoft, Cisco ou encore Intel ont été touchés par cette cyberattaque, ainsi que près de 2,27 millions d’utilisateurs. Les hackers ont récupéré des données confidentielles et ont installé des portes d’entrée dans les systèmes.

Les conséquences des attaques sur la supply chain pour les entreprises

Les conséquences des attaques supply chain sont multiples et dépendent des objectifs des cybercriminels. Parmi les risques, citons par exemple :

  • des perturbations opérationnelles, voire un arrêt de l’activité dans le cas de ransomware ;
  • le vol des données sensibles (données clients, espionnage industriel, secrets d’État, etc.) ;
  • des pertes financières (versement de rançon, pertes de revenus, coûts de réparation, frais de justice, etc.) ;
  • la perte de confiance des partenaires et des clients ;
  • des risques juridiques en cas de non-conformité aux réglementations en matière de cybersécurité et de traitement des données.

Comment prévenir les attaques sur la supply chain ?

La prévention des attaques sur la chaîne d’approvisionnement est complexe et nécessite une approche stricte de la sécurité numérique.

Établir des exigences de sécurité auprès des fournisseurs

Vous devez avoir parfaitement confiance dans vos partenaires pour vous prémunir des menaces d’attaques supply chain. Vérifiez qu’elles sont leurs pratiques en matière de cybersécurité et s’ils sont conformes aux normes en vigueur (SOC 2, ISO 27001, etc.). Vous pouvez demander la réalisation d’audits réguliers ou bien porter des exigences contractuelles pour garantir que votre fournisseur est parfaitement conscient des enjeux liés à la cybersécurité.

Segmenter le réseau et sécuriser les accès des fournisseurs

Préservez vos données sensibles en segmentant votre réseau. Vous ne donnez ainsi accès qu’aux environnements dont vos partenaires ont besoin. Mettez également en place l’authentification multifactorielle et donnez un accès strict et unique lié aux tâches de vos fournisseurs. Vous pouvez également mettre en place une stratégie complète de zéro trust pour limiter les risques potentiels.

L’authentification des mises à jour et des logiciels tiers

Assurez-vous que chaque mise à jour produite par un éditeur tiers dispose d’une signature numérique. Vous pouvez ainsi vérifier sa légitimité. Avant de les déployer, n’hésitez pas à les tester notamment dans un environnement bac à sable. Vous pourrez alors voir son comportement et l’analyser avec vos outils de sécurité informatique.

Comment l’IA parvient-elle à contrer les attaques sur les chaînes d’approvisionnement ?

Le déploiement de l’intelligence artificielle dans la recherche de logiciels malveillants est un atout pour toutes les organisations. Elle est capable de détecter des comportements anormaux et déclencher des alertes avant le déploiement. L’IA soutient les équipes SI grâce à l’automatisation des tâches de surveillance et des réponses aux incidents. Avec ses capacités d’analyse et d’intervention, elle peut révéler rapidement une tentative d’attaque supply chain avant que celle-ci ne se propage.

Pour limiter les risques d’attaques supply chain et la propagation en cascade de logiciels malveillants, chaque acteur de la chaîne d’approvisionnement doit savoir prendre ses responsabilités. La sécurisation de ses propres systèmes et celle des partenaires doivent se combiner pour réduire tout risque d’attaques aux conséquences lourdes.

Ces questions vous passionnent ? Rejoignez sans plus attendre notre école et suivez la formation qui fera de vous un expert en cybersécurité.