Dépendance des entreprises aux partenaires et fournisseurs : un terrain privilégié pour les cyberattaques
L'essor des nouvelles technologies comme l'IA rend la chaine d'approvisionnement toujours plus vulnérable aux cyberattaques.
Ces dernières années, les entreprises sont devenues de plus en plus connectées aux partenaires et fournisseurs composant leur chaîne d’approvisionnement, notamment avec l’essor de la transformation numérique. En rendant plus complexes les infrastructures informatiques, cette évolution a élargi les possibilités d’attaque par les cybercriminels. En effet, pour accéder aux systèmes d’entreprises, les attaquants exploitent désormais les maillons les plus vulnérables de la chaîne d’approvisionnement.
En novembre dernier, Blue Younder, un fournisseur de logiciel américain, a notamment été victime d’une attaque par ransomware affectant les opérations de 3 000 entreprises à travers 76 pays. Cet exemple démontre à quel point il devient nécessaire de se questionner sur la protection de la chaîne d’approvisionnement dans son entièreté contre l’évolution rapide et complexe des cybermenaces.
Open source et IA : des catalyseurs de risques accrus
L’interdépendance entre les différents systèmes des entreprises, des fournisseurs et des partenaires crée des vulnérabilités exploitées par les cybercriminels, qui étendent ensuite leurs attaques latéralement afin d’atteindre les données et systèmes de leur cible principale. Avec des ressources en cybersécurité limitées, les PME et les sous-traitants sont des cibles privilégiées.
Beaucoup considèrent les composants logiciels open source comme des opportunités pour les attaquants. En effet, leur code ouvert au public permet aux cybercriminels de l’analyser et d’en trouver les failles et bugs critiques, compromettant potentiellement plusieurs applications logicielles simultanément. En 2024, une attaque particulièrement notable de la chaîne d’approvisionnement open source a exploité la porte dérobée XZ Utils, impactant plusieurs distributions Linux populaires. Pour les logiciels bien gérés, cela peut être, au contraire, avantageux. En effet, grâce à l’implication de centaines de contributeurs, les bibliothèques open source populaires sont constamment examinées et améliorées, favorisant ainsi un développement rapide des logiciels.
De plus, avec l’expansion de l’ingénierie sociale, les collaborateurs disposant d’accès stratégiques ou d’un niveau de privilège élevé deviennent des cibles de choix pour les cybercriminels, leur permettant d’employer des méthodes de manipulation humaine pour contourner les moyens de défense techniques. L’évolution fulgurante de l’IA a notamment permis le perfectionnement de leurs techniques, donnant lieu à des campagnes de phishing ultra-ciblées, des deepfakes ou des attaques crédibles sur mobile. Cette expansion de la surface d’attaque exploitable par les cybercriminels est notamment causée par la croissance du travail à distance et par l’utilisation d’appareils personnels, comme le téléphone mobile, à des fins professionnelles.
Adopter le Zero Trust et le MFA pour des stratégies de défense efficaces
Il est primordial pour les entreprises de mettre en place des stratégies de protection complètes, notamment avec des approches, des outils et des partenaires adaptés pour lutter contre d’éventuelles attaques. Un des éléments clés d’une stratégie de cybersécurité résiliente est l’approche Zéro Trust qui s’appuie sur le principe suivant : « ne pas faire confiance et toujours tout vérifier ».
La mise en place des méthodes d’authentification fortes (MFA), accompagnées de contrôles rigoureux et d’une gouvernance des accès segmentés, peut également être bénéfique. S’assurer que chaque utilisateur dispose des accès adéquats et adaptés à son niveau de privilège est primordial, tout comme le contrôle et l’ajustement de ces accès, en particulier auprès des fournisseurs ou partenaires externes.
En outre, les clés d’accès (passkeys) se révèlent également incroyablement efficace. Ces clés numériques stockées et attribuées à des appareils spécifiques ne peuvent pas être interceptées par les kits de phishing.
La réglementation cherche à freiner les attaques ciblant la chaîne d’approvisionnement
Pour des raisons de cybersécurité et de conformité réglementaire, il est important de garantir l’accès à des protections adaptées pour chaque acteur de l’écosystème. À titre d’exemple, depuis janvier 2025 et la mise en application du règlement DORA, les prestataires financiers doivent contrôler le respect des normes de sécurité établies par la réglementation auprès de ses fournisseurs et partenaires, sous peine de sanctions allant de l’amende à des poursuites judiciaires. Il est donc primordial de réaliser des audits réguliers du niveau de sécurité des partenaires et de veiller à leur sensibilisation et formation aux cybermenaces.
Pour infiltrer des systèmes sécurisés, les cybercriminels ciblent de plus en plus la chaîne d’approvisionnement et mettent à profit cet élargissement de la surface d’attaque pour infiltrer des organisations fournisseurs et partenaires de plus petites tailles, ces derniers étant le plus souvent moins bien outillés et formés. Il est désormais nécessaire pour les entreprises d’élaborer et d’appliquer des stratégies et des bonnes pratiques afin de maintenir la continuité de leur activité et l’intégrité de leur infrastructure informatique de plus en plus complexe et interconnectée. Pour cela, elles peuvent collaborer avec des tiers, mais également avec des experts de la cybersécurité pouvant fournir des solutions adaptées, des conseils et un accompagnement pour établir les cadres techniques garantissant à la fois protection de l’ensemble de l’écosystème et conformité réglementaire.