Comment les cybercriminels peuvent lancer une attaque via un partenaire de la chaîne d'approvisionnement

De par sa nature même, une chaîne d'approvisionnement nécessite un partenariat collaboratif entre les personnes et les organisations. Bien que cela puisse aider à atteindre un objectif commun et favoriser la croissance, cela peut également poser une multitude de problèmes.

Grâce à ces relations symbiotiques, les entreprises ont, sans le savoir, exposé des aspects sensibles de leur activité. Pourtant, cette faiblesse ignorée a permis aux cybercriminels de prendre pied dans leurs organisations cibles.

Soulignant la prévalence de telles attaques, une étude de l'Opus and Ponemon Institute montre qu'au moins 59% des organisations ont subi des cyberattaques par le biais de sociétés tierces. Encore plus troublant est le fait que seulement 16 % des organisations de l'étude prétendent atténuer efficacement les risques de cybersécurité provenant de tiers.

Il va de soi que la première étape pour protéger votre entreprise contre de tels risques est de les identifier. Voici quelques moyens par lesquels des acteurs malveillants peuvent lancer une attaque via un partenaire de la chaîne d'approvisionnement, illustrés par des exemples concrets.

Presque toutes les organisations utilisent du matériel et des logiciels externes. Peu de gens veulent créer une technologie à partir de zéro. Au contraire, le boom dans le domaine de l'open source a conduit à une vague massive d'externalisation dans presque tous les aspects des opérations commerciales.

Malgré sa commodité, cette opportunité comporte des risques considérables. La tristement célèbre violation d'Equifax de 2018 résulte d'une faille dans le logiciel chargé d'exécuter les bases de données en ligne. Equifax l'a également blâmé sur un lien de téléchargement malveillant sur son site, qui provenait d'un autre fournisseur.

En raison de ces faiblesses dans leur chaîne d'approvisionnement, les criminels ont mis la main sur les données personnelles d'au moins 143 millions de personnes.

De nombreuses entreprises utilisent des systèmes de chauffage, de ventilation et de climatisation (CVC) connectés à Internet mais dépourvus de mesures de sécurité adéquates. Celles-ci offrent aux pirates une passerelle potentielle vers les systèmes d'entreprise, comme ce fut le cas avec la violation massive de Target en 2014.

Les pirates ont eu accès aux identifiants de connexion qui appartenaient à la société fournissant le système CVC de Target. Ils se sont ensuite connectés et sont entrés dans ses systèmes de paiement, volant des informations appartenant à environ 70 millions de personnes. Il comprenait des noms, des adresses physiques, des adresses e-mail et des numéros de téléphone, entre autres données sensibles.

Une autre forme de risque provient des fournisseurs de services cloud qui stockent les données confidentielles des entreprises. Certes, ces entités investissent considérablement dans la sécurité de leurs systèmes; leur réputation en dépend.

Mais comme tout autre système organisationnel, ceux-ci sont également sujets aux compromis. Ce fut le cas lors du tristement célèbre piratage de Paradise Papers en 2018. Environ 13,4 millions de fichiers sensibles ont été divulgués, révélant des transactions financières sensibles d'entreprises mondiales et de personnes très riches du monde entier. Au moins la moitié de ces fichiers, environ 6,8 millions, provenaient d'Appleby, un fournisseur de services juridiques offshore.

Une attaque similaire a eu lieu à l'été 2018, lorsque Deep Root Analytics a divulgué les données personnelles d'environ 200 millions d'électeurs. Deep Root est une entreprise de marketing utilisée à la fois par les partis républicain et démocrate. La violation résulte du fait que l'entreprise a mis accidentellement les données sur un serveur accessible au public.

Bien qu'il s'agisse d'une entreprise relativement petite avec seulement environ 50 employés, des incidents similaires ont eu lieu dans de plus grandes organisations. Dans le cas de la violation de Verizon, Nice Systems a placé 6 millions d'enregistrements clients sur un serveur de stockage public Amazon S3. Les enregistrements consistaient en six mois de journaux d'appels du service client. Ils comprenaient des informations personnelles et de compte. Nice compte plus de 3 500 salariés.

Deloitte, avec plus de 250 000 employés, a connu une violation de données similaire. En septembre 2018, les pirates ont eu accès aux plans et aux e-mails confidentiels de certains de ses clients de premier ordre. La faille, dans ce cas, était la faiblesse des contrôles d'accès sur l'un de ses comptes administratifs.

Pour les grandes entreprises, la sécurité peut être étanche en interne. Cependant, cela peut ne pas être vrai même pour les systèmes informatiques des fournisseurs. Cela semble être ce qui s'est passé chez Domino's Pizza en Australie l'automne dernier. Selon les rapports de l'époque, l'incident résultait de la faiblesse des systèmes de cybersécurité d'un ancien fournisseur. En conséquence, le système a divulgué les noms et adresses e-mail des clients. La violation n'a été révélée que lorsque les clients concernés ont commencé à recevoir des e-mails de spam personnalisés. Bien que Domino's ait insisté sur le fait qu'il n'y avait pas eu de piratage malveillant de données personnelles et que ses systèmes n'étaient pas en cause, le mal était déjà fait.

Une autre faille que les cybercriminels pourraient exploiter est celle des capteurs de l'Internet des objets (IoT). De nombreux opérateurs commerciaux sont attentifs aux risques de sécurité informatique, téléphonique et réseau. Mais ils négligent souvent les appareils IoT, ce qui peut permettre aux attaquants de sauter dans les systèmes d'entreprise.

Ces appareils sont équipés de capteurs qui les connectent à Internet à des fins de communication. Ils sont courants dans les chaînes d'approvisionnement, car ils peuvent aider à la prévision des pannes de machines et à la gestion des stocks, entre autres domaines. Malgré leur valeur fonctionnelle, ils constituent un vecteur d'attaque populaire qui peut donner aux attaquants l'accès à des données sensibles et faciliter les attaques de sabotage et de botnet.

Un exemple d'une telle attaque a utilisé un botnet connu sous le nom de Mirai pour compromettre Dyn, une société qui fournit des services de noms de domaine à Reddit, Netflix et Github, entre autres. Mirai est un botnet spécifique à l'IoT conçu pour perpétrer des attaques par déni de service distribué (DDOS).

Les exemples ci-dessus donnent du crédit au fait que les attaquants peuvent utiliser un maillon faible de votre chaîne d'approvisionnement pour accéder aux systèmes. Malheureusement, vous ne pouvez pas exercer un contrôle direct sur les mesures de sécurité mises en œuvre par vos partenaires de la chaîne d'approvisionnement. Mais en fin de compte, les clients ne se soucient pas de la façon dont vous avez été compromis. Ils veulent simplement savoir que leurs données sont sécurisées. Et cela place la responsabilité d'assurer une sécurité stricte entre vos mains.

Une diligence raisonnable dans l'évaluation des systèmes de sécurité tiers et de leurs politiques de confidentialité est essentielle. Comme nous l'avons vu, les organisations, grandes et petites, peuvent être la proie de ces tactiques. Quelle que soit la taille de vos partenaires, il est essentiel d'évaluer leur engagement en matière de sécurité.

Faites-en un objectif prioritaire pour évaluer où se situent vos faiblesses et donnez la priorité à combler toutes les échappatoires.

Olivia Scott est responsable marketing chez VPNpro.com.