Dix mesures pour sécuriser sa supply chain
Certaines organisations l’ont appris à leurs dépens, le maillon faible de leur sécurité informatique ne se trouve pas forcément dans leur propre système d’information ou dans celui d’un fournisseur de niveau 1. La faille peut venir d’un fournisseur de niveau 2, au-delà des partenaires de confiance. Pas étonnant donc que la sécurité de la supply chain suscite de plus en plus d'inquiétude.
Vecteur majeur de cyberattaques tous secteurs confondus, l’email est un canal de communication tout aussi sensible pour l’intégrité de la supply chain. Un prestataire logistique envoie un email pour informer son client d’un retard de livraison. Le destinataire ouvre l’email, clique sur le lien et se connecte sur un portail, qui n’indique aucune livraison en cours… Pensant qu’il s’agit d’une simple erreur, il passe à autre chose et oublie cet email… avant de découvrir plusieurs mois plus tard que le lien était frauduleux et a servi à dérober des identifiants de connexion.
Le fléau des usurpations d'identité
Cette forme d'abus est malheureusement devenue courante et un nombre croissant de cas de piratages sont imputables aux vulnérabilités des fournisseurs. Particulièrement vigilante sur le sujet, l’ANSSI vient de publier un rapport détaillé sur les attaques visant les prestataires de services et les bureaux d’étude de grands industriels européens. L’an dernier, les usurpations d’identité ont par ailleurs été particulièrement utilisées dans les secteurs de l'ingénierie, de l'automobile et de l'éducation, reflétant d’une part la complexité de certaines chaînes d'approvisionnement, et d’autre part, la vulnérabilité de certaines populations. Les menaces BEC (Business Email Compromise) sont plus difficiles à détecter, l’usurpation de l'identité d'un partenaire par email étant plus susceptible de tromper sa cible.
En outre, la plupart des entreprises ne connaissent pas l’intégralité de leurs fournisseurs et partenaires. Seulement 35 % d’entre elles affirment d’ailleurs pouvoir identifier leurs fournisseurs tiers immédiats. Le cyber-risque étant difficilement assurable dans une supply chain, il est préférable d’adopter une démarche proactive et d’appliquer certaines mesures pour se protéger contre les cyberattaques utilisant le canal email :
1. La gestion des fournisseurs à travers un catalogue de fournisseurs et partenaires connus, complété par la détection automatisée des relations de confiance.
2. La mise en place de processus gérant l’off-boarding des partenaires pour minimiser les risques à long terme.
3. La mise à jour des contrats tiers pour répondre aux exigences de sécurité des emails.
4. L’évaluation de l'utilisation des services cloud afin de déployer une surveillance et une protection des accès sur le cloud.
5. L’authentification par email (DMARC) pour permettre aux partenaires de reconnaître les emails légitimes.
6. La vérification des emails entrants pour s’assurer que les emails reçus des principaux fournisseurs et partenaires sont légitimes.
7. Une protection de la passerelle de messagerie, incluant une configuration du filtrage entrant et la prévention des pertes de données pour améliorer la protection contre l'usurpation d'identité des fournisseurs et des partenaires.
8. L’identification et la protection des employés vulnérables (qui ont des accès privilégiés aux moyens de défense ou qui figurent parmi les VAP (Very Attacked Person).
9. Des formations en cybersécurité pour les employés, spécifiquement axées sur les fournisseurs.
10. Un plan d'intervention en cas d'incident incluant des partenaires de confiance.
Les entreprises préoccupées par l'état de la sécurité de leur courrier électronique dans la chaîne d'approvisionnement sont encouragées à faire appel à leur équipe sécurité pour mettre en place les actions nécessaires.
Vérifier la chaîne d'approvisionnement
La chaîne d'approvisionnement s'étend au-delà des fournisseurs et des partenaires de confiance. Elle inclut des entreprises ayant plusieurs départements et niveaux de suivi des dépenses, possédant des services dans le cloud et d'autres relations ad hoc que l'on ne trouve généralement pas dans les systèmes de gestion des risques d'entreprise. Il est donc crucial d'identifier les emails à protéger, en dehors de ceux déjà pris en compte entre les fournisseurs connus, afin d'assurer une communication sécurisée avec chacun d'entre eux. Il est également indispensable de vérifier le niveau de sécurité et de performance de tous les fournisseurs, quel que soit leur rang. En effet, la moitié de toutes les perturbations provient de fournisseurs de niveau 2 et de niveau inférieur… La supply chain étant un environnement complexe, l’approche whitelist/blacklist et les règles de routage personnalisées pour filtrer les emails ne sont pas suffisantes. Une sécurité post périmétrique appliquée à l'ensemble des fournisseurs et partenaires s’impose.