Cybersécurité : comment éviter d'être la prochaine victime de la supply chain ?

Facile à pénétrer, la supply chain est devenue une cible privilégiée des cybercriminels ces dernières années. La protéger est aujourd'hui un devoir collectif et sociétal, pour toutes les entreprises.

TicketMaster, Santander et plus récemment United Health… Ces derniers mois les exemples d’attaques sur la chaîne de fournisseurs se sont multipliées, et figurent toujours parmi les principales menaces cyber. En 2022, au moins 39% des organisations déclaraient avoir été touchées par un incident cyber impliquant un tiers comme le révélait le rapport du World Economic Forum sur le paysage mondial des risques. Facile à compromettre, les fournisseurs, les partenaires, qui sont pour la plupart de petites ou moyennes entreprises, sont bien souvent moins bien protégées contre les risques de cyberattaques.

Sous l’effet de la mondialisation, l’interdépendance entre les organisations ne cesse de croitre. Chacune d’entre elles est aujourd’hui le fournisseur d’une autre, engendrant une plus grande complexité. Dans un tel contexte, la supply chain doit être considérée dans sa globalité, ce qui implique les personnes, les processus et les outils. Autant d’éléments qui doivent être alignés pour que les organisations soient en mesure d’éviter les attaques provenant de leurs fournisseurs.

Une menace globale, économique et politique

Aujourd’hui, la menace cyber n’est plus uniquement locale, elle s’intègre dans un contexte géopolitique et économique, en évolution permanente. Cette mondialisation de la menace entraîne l’externalisation de ses acteurs vers les pays à bas coûts, comme en Asie, à l’image des camps cyber observés en Birmanie. Au-delà des impacts financiers direct, ces attaques créent une porte grande ouverte sur les systèmes et données de l’organisation.

Dans un contexte où la menace se veut de plus en plus politique, cet accès rapide et efficient à la donnée via la supply chain prend une tout autre dimension. En effet, la menace se décline désormais dans les conflits armés avec l’usage de l’arme cyber comme nouveau vecteur à bas coût, faible risque humain, mais à fort impact sur les organisations. L’affaire Kaspersky notamment, avait vu l’éditeur russe radicalement interdit dans de nombreuses organisations publiques comme privées aux Etats-Unis, et Gartner avait en parallèle supprimé de nombreux éditeurs américains de ses benchmarks à la suite de cet embargo.

Pour faire front, les organisations doivent changer drastiquement d’approche. Les RSSI doivent aujourd’hui passer d’une vision Zero-trust portée par les « produits » à une approche davantage philosophique pour l’aborder comme une posture globale de sécurité qui inclut l’humain, la technique et l’organisation.

La cybersécurité est un projet de transformation d’entreprise

Pour se protéger contre le risque cyber, une approche Triple Z (zero-trust for humain, zero-trust for technique et zero-trust for organization) peut être appliquée et se décliner au regard de la chaîne d’approvisionnement. En prenant également appui sur les piliers du cadre NIST, - identifier, protéger, détecter, répondre et récupérer – il est possible d’en avoir une vision 360.

A contre-courant de certaines idées reçues, la maîtrise d’une attaque ne devrait pas prendre le pas sur la sensibilisation dans les organisations. Une prise de conscience individuelle et collective est nécessaire pour que l’ensemble des collaborateurs comprenne la réalité du risque cyber. La prévention devrait permettre d’intégrer la sécurité au sein de chaque projet.

Des efforts d’éducation et de prévention doivent être mis en œuvre à tous les niveaux de l’organisation, notamment pour anticiper également les enjeux de régulation et de conformité, au cœur de la directive NIS2, dont la transposition est prévue pour octobre 2024. Par exemple, il est possible d’inclure des critères cyber dans les contrats et d’instaurer des règles et pratiques dans le développement des produits (Security by Design and Default). L’objectif étant de garantir que l’organisation travaille avec des partenaires de confiance, se conformant eux-mêmes aux exigences futures et qui, en outre, ne travaillent pas pour des concurrents ou ne sont pas sous l'influence de préoccupations géopolitiques. Finalement, NIS2 n’est pas qu’un projet juridique. La cybersécurité doit être un véritable projet de transformation d’entreprise sur le long terme permettant de protéger les patrimoines intellectuels, financiers ainsi que les emplois.  

Une fois le travail de sensibilisation inscrit dans le cadre d’une gestion des risques est décliné d’un point de vue opérationnel, les organisations peuvent alors se concentrer sur la détection et la réponse aux menaces pour que les équipes IT et OT soient en mesure de piloter efficacement les risques de leur organisation. Elles peuvent également s’appuyer sur une plateforme de cybersécurité (eXtended Detection and Response Platform) opérée par leur SOC, ou celui de leurs fournisseurs de sécurité et de leur réseau de partenaires. Quand on sait que la vélocité de propagation d’une attaque par ransomware peut être de 500 machines par minute, on comprend l’importance de la préparation, d’un entraînement continu et de l’automatisation, toujours dans une logique de collaboration entre organisations et partenaires.

Pour atteindre les grosses entreprises, il est devenu bien plus rentable de passer par les petites entités. C’est pourquoi la responsabilité doit être partagée entre les acteurs, grâce à des pratiques étendues de bonne gouvernance, gestion des identités, protection et réaction. Transmettre une économie numérique plus sûre aux prochaines générations est un devoir collectif, voire sociétal.