Les méthodes d'attaque de la chaîne d'approvisionnement les plus courantes et le rôle de la sensibilisation à la cybersécurité

État des lieux des nouvelles techniques adoptées par les cybercriminels qui s'attaquent de plus en plus à la chaîne d'approvisionnement des entreprises.

Les cybercriminels ne cessent de développer de nouvelles méthodes et techniques pour mener leurs attaques. Pour détecter et repousser ces assauts, les entreprises doivent continuellement se tenir informées des dernières tendances en la matière. L’une d’elles concerne la popularité croissante des attaques perpétrées au travers de la chaîne d’approvisionnement.  

Lorsqu’ils utilisent ce type d’attaque, la première étape pour les pirates consiste à rechercher des vulnérabilités dans la chaîne d’approvisionnement d’une entreprise. Par exemple, un fournisseur de services qui applique des standards de sécurité insuffisants. Ils exploitent ensuite les failles techniques repérées dans les systèmes du fournisseur afin d’atteindre leur cible réelle.  

Pour éviter ce scénario, il est important de savoir à quel genre d’attaques s’attendre. Voici, un état des lieux des méthodes les plus courantes et des conseils pour permettre aux entreprises d’y faire face : 

Infections par malware 

La plupart des attaques de la chaîne d’approvisionnement débutent par une infection par malware. Les cybercriminels injectent discrètement un logiciel malveillant dans les systèmes d’une entreprise, puis ce dernier se propage lentement dans la chaîne d’approvisionnement. Il existe différents types de malwares qui, à leur tour, exécutent différents types de processus. Par exemple, les spywares ont pour mission de surveiller les activités des employés et de récupérer leurs identifiants confidentiels. Quant aux ransomwares, ils servent à collecter et à chiffrer des données pour permettre aux cybercriminels d’exiger des rançons. Enfin, les portes dérobées (cheval de Troie, par exemple) permettent de contrôler des programmes à distance et servent parfois de point de départ à une attaque de la chaîne d’approvisionnement. Ces infections par malware exploitent les failles de sécurité et autres vulnérabilités présentes dans la chaîne d’approvisionnement. 

Vulnérabilités logicielles 

Aucun logiciel n’est parfait. Les éditeurs testent leurs produits de manière approfondie, mais il n’existe aucune garantie de sécurité absolue. Les cybercriminels recherchent des vulnérabilités qu’ils peuvent exploiter et n’ont souvent besoin que de failles temporaires qu’ils peuvent utiliser pour des exploits zero-day (manipulation et exécution de mises à jour, par exemple). Nous en avons vu une illustration lorsque le service d’authentification d’Okta a été attaqué par le groupe Lapsus$.  

Les pirates ont réussi à exploiter une vulnérabilité présente dans les systèmes de Sitel, l’un des fournisseurs de services d’Okta. Ils ont utilisé un logiciel de télémaintenance en se connectant à l’ordinateur portable d’un employé, et n’ont dévoilé leur identité que deux mois plus tard. Ce cas révèle clairement le temps durant lequel des pirates peuvent demeurer incognito dans des systèmes, ainsi que la vitesse – et l’ampleur – de propagation des malwares dans une chaîne d’approvisionnement. 

Ingénierie sociale 

Les attaques ne visent pas que les technologies. Les humains sont eux aussi constamment mis aux défis par les cybercriminels. Dans le cas de l’ingénierie sociale, les pirates jouent sur les émotions humaines, comme la confiance et la peur, pour inciter les victimes à divulguer des informations confidentielles, à désactiver des fonctionnalités de sécurité ou à installer des malwares à leur insu.  

Il existe différents types d’attaque d’ingénierie sociale, par exemple le phishing, smishing (phishing par SMS ou autres messages). Souvent, les utilisateurs sont plus négligents face aux messages de smishing et ont tendance à y répondre plus rapidement qu’aux e-mails. En juillet dernier, par exemple, des attaquants ont tenté d’inciter Christine Lagarde, présidente de la Banque Centrale Européenne, à révéler son code de confirmation WhatsApp. Pour ce faire, ils ont utilisé le véritable numéro de portable de l’ancienne chancelière allemande, Angela Merkel – personne ne sait d’ailleurs comment ils l’ont obtenu. Fort heureusement, la méfiance de Mme Lagarde l’a conduit à appeler Mme Merkel pour s’enquérir du message reçu. Et le danger a pu être écarté. 

Attaques par force brute 

Les cybercriminels utilisent également des attaques dites « par force brute » pour faire main basse sur des données sensibles telles que les identifiants de connexion à des systèmes internes. Ces attaques sont menées par tâtonnements. Concrètement, les cybercriminels testent une multitude de possibilités pour déchiffrer le mot de passe d’un employé. Ils se servent pour cela d’outils permettant de tester automatiquement toutes les combinaisons possibles. Une fois le mot de passe cassé, ils peuvent facilement se servir d’un malware pour infecter les systèmes de l’entreprise. 

Rôle de la sensibilisation 

La grande diversité des attaques montre que les violations de sécurité et l’exploitation de vulnérabilités peuvent avoir des conséquences graves pour les entreprises. En dépit – ou peut-être à cause – des nombreux systèmes de sécurité aujourd’hui en place, les cybercriminels se montrent de plus en plus persistants lorsqu’ils passent par des personnes pour tenter d’y accéder. Après tout, nous sommes toujours vulnérables à une chose : la manipulation émotionnelle. 

D’où l’importance d’impliquer davantage les employés dans des stratégies de cybersécurité cohérentes afin de réduire le risque d’attaque (chaîne d’approvisionnement et autres), et veiller à la vigilance et à la sensibilisation de chaque collaborateur de l’entreprise face aux méthodes des attaquants.  

Mais une simple explication sur papier ou une formation ne suffit pas, car les connaissances acquises de façon passives sont rarement appliquées et parfois difficiles à retenir. En revanche, les connaissances actives peuvent être mises en pratique de façon concrète et reflétées dans un comportement sécurisé. Ces connaissances peuvent être acquises via une formation de sensibilisation à la cybersécurité, des exercices pratiques et des simulations réalistes.  

Parce que l’accent doit toujours être mis sur les besoins des apprenants, il est primordial d’exploiter les sciences comportementales et la psychologie de l’apprentissage. Par exemple, la gamification est très efficace et peut augmenter l’activation des utilisateurs de 54 %.  

Si, au travers de simulations, les employés apprennent ce qu’il faut faire en cas d’urgence, ils sauront comment réagir le cas échéant dans la vie réelle. Ce type de formations systématiques et individuelles peuvent réduire le risque de cyberattaques de 90 %. La sensibilisation est une étape majeure vers la cybersécurité de toute l’entreprise.