De l'importance d'évaluer le risque dans la supply chain

Les fournisseurs externes sont souvent amenés à gérer les données de l'organisation ou de ses employés. Or, une organisation aura beau verrouiller sa stratégie de cybersécurité, si un utilisateur tiers ne possède pas le même niveau d'exigence, les accès dont il dispose constituent une porte d'entrée pour les cybercriminels.

Lors de la dernière cyberattaque d'envergure mondiale contre SolarWinds, les cybercriminels ont visé la supply chain en compromettant le logiciel Orian, afin de l'utiliser comme une porte d'entrée vers les réseaux des clients de SolarWinds. Les entreprises modernes recourent de plus en plus à l'externalisation de services auprès de tiers, dans des domaines aussi variés que l'IT, le juridique, le marketing, les RH, ou encore les équipements.

D’ailleurs, selon le cabinet d’analyste ISG, les contrats d’externalisation IT auraient atteint 17,1 milliards de dollars dans le monde au premier trimestre 2021. Si le procédé est rentable au niveau opérationnel, il devient néanmoins une opportunité pour les cybercriminels.

Les fournisseurs externes sont souvent amenés à gérer les données de l’organisation ou de ses employés, à disposer d’un accès à ses systèmes, et peuvent jouer un rôle essentiel dans les activités opérationnelles. Or, une organisation aura beau verrouiller sa stratégie de cybersécurité, si un utilisateur tiers ne possède pas le même niveau d’exigence, les accès dont il dispose constituent une porte d’entrée pour les cybercriminels vers les réseaux de ses clients. Les entreprises courent donc un risque significatif qui peut se manifester sous plusieurs formes, telles que des violations de données à fort impact, des pertes financières, des atteintes à la réputation, des pertes de propriété intellectuelle et des amendes pour non-conformité au RGPD.

Par conséquent, elles ne doivent pas seulement s’inquiéter de leur maturité sur les questions de cybersécurité, mais aussi de celles de leurs fournisseurs externes. Le niveau de protection de ces derniers est alors à évaluer avant et tout au long de la collaboration ; et ce, en leur demandant de fournir des preuves concrètes des procédures et outils mis en place. Ainsi, les organisations s’assureront d’être à même de faire face aux nombreuses menaces qui tirent profit des accès des tiers.

Les attaques contre la supply chain

Magecart est un groupe black hat qui vise régulièrement la supply chain des sites web. Le procédé est souvent le même : les cybercriminels injectent des scripts dans les formulaires de paiement en ligne des sites d’e-commerce, ou via un fournisseur tiers utilisé par ces derniers. Ces scripts sont conçus pour voler les informations confidentielles saisies par les clients sur le site, telles que les données à caractère personnel et les informations relatives aux cartes de crédit. Les membres de Magecart sont expérimentés et sont notamment les auteurs des attaques contre British Airways, Ticketmaster et Newegg.

Les attaques visant la supply chain de sites web ne cessent d’augmenter du fait de la digitalisation croissante du quotidien des citoyens. Et celles qui visent à compromettre les fournisseurs de code tiers, sont particulièrement dangereuses, étant donné que des milliers de sites web sont susceptibles d’utiliser ce même code. En principe, cela permettrait aux hackers d’obtenir un accès illégitime à un nombre important de sites et, par conséquent, à une quantité considérable de données confidentielles.

Des données sensibles exposées dans des services cloud

Régulièrement, des volumes importants de données sensibles sont compromis, bien souvent à cause d’une mauvaise configuration des paramètres liés à la fonctionnalité de partage de liens cloud. Parmi ces informations figurent parfois des renseignements sur les passeports et la sécurité sociale, des comptes bancaires, des prototypes, des données sur les employés ou financières, des configurations VPN et des diagrammes de réseau. En effet, même si les accès aux données stockées par le fournisseur cloud sont définis comme étant privés par défaut, les utilisateurs peuvent partager des fichiers directement avec d’autres personnes, en les rendant accessibles à un public externe via le partage d’un lien. Et lorsque le partenaire cloud ne fait pas preuve d’une cyber-hygiène exemplaire, ce lien peut être récupéré à l’aide de scripts spécifiques.

Pour protéger les informations sensibles stockées sur le cloud, entreprises et fournisseurs doivent se montrer exemplaires ; cela passe par des configurations de partage strictes, une surveillance étroite et régulière des liens publics et une sensibilisation des employés à ne pas partager un contenu à usage privé, sont à accompagner d’une politique claire du fournisseur quant au partage de la responsabilité sur la protection des données.

Résoudre les problèmes de cybersécurité liés aux tiers

Il est important de connaître parfaitement ses fournisseurs et de veiller à ce qu’ils aient mis en place des mesures de cybersécurité adéquates afin de réduire le risque d’un incident qui pourrait avoir un impact négatif sur une entreprise. Toutefois, à ce jour, seul un faible pourcentage d’organisations surveille les risques et les performances de sécurité au sein de leurs chaînes      d’approvisionnement.

Les organisations doivent par conséquent évaluer précisément le niveau de sécurité de leurs tiers. Si le nombre de fournisseurs est élevé, il est possible de se concentrer dans un premier temps sur ceux qui ont accès à des données sensibles et qui nécessitent donc d’être évalués en priorité. Pour ce faire, un simple questionnaire déclaratif ne suffit pas pour déterminer le niveau de risque potentiellement encouru. Les tiers doivent par conséquent fournir des documents détaillés qui prouvent les règles et les procédures de cybersécurité en place. Ces justificatifs, comparés aux facteurs de risque externes, offrent une vision holistique du niveau de maturité de la cybersécurité pour l’ensemble des menaces.

Entreprises clientes et fournisseurs ressortent tous deux gagnants de cette stratégie. En effet, les premières s’assurent un niveau de protection homogène et suffisant parmi ces tiers ; et des plans d’amélioration détaillés peuvent alors être dessinés et traduits en mise en œuvre d’actions concrètes pour les seconds. Ainsi, les des bonnes pratiques de cyber-hygiène se diffusent à tous     l’écosystème business.