En juillet 2021, l’éditeur de logiciels Kaseya a fait les frais d’une attaque contre la supply chain : le groupe REvil a tiré parti d’une vulnérabilité zero-day du logiciel VSA de l’éditeur pour distribuer automatiquement une mise à jour malveillante à 60 clients MSP et plus de 1 500 PME.
Si cet événement paraissait alors être un cas isolé, ce type d’attaque constitue aujourd’hui une menace omniprésente. Une étude de 2021 conduite par l’Agence de l'Union européenne pour la cybersécurité (AESRI) a prédit que d’ici la fin de la même année, les attaques contre la supply chain seraient quatre fois plus nombreuses qu’en 2020. Dans le même esprit, une étude récente a révélé que 80 % des organisations avaient été informées d’une vulnérabilité ou d’une attaque au niveau de leur supply chain au cours des 12 derniers mois.
Dans cet article, nous allons nous pencher sur cette menace et sur les raisons qui expliquent sa popularité croissante auprès des hackers. Nous verrons ensuite pourquoi les fournisseurs de services managés (MSP) constituent des cibles de choix et les mesures que votre organisation peut mettre en place pour se protéger.
Anatomie d’une attaque contre la supply chain
Comme le montre l’exemple de Kaseya, une attaque contre la supply chain essaie de tirer parti des vulnérabilités d’un fournisseur tiers pour compromettre rapidement tout un réseau de clients et de partenaires. Une étude conduite par l’AESRI en 2021 a montré que 66 % des attaques contre la supply chain ciblaient le code des logiciels de fournisseurs et que 62 % des attaques contre les clients exploitaient la relation de confiance qu’ils entretenaient avec leur partenaire.
Les hackers peuvent cibler des fournisseurs pour en faire une plateforme de distribution de malwares, exfiltrer des données sensibles afin de réclamer une rançon, lancer des attaques de phishing ou spear phishing, et bien plus encore. Les attaques contre la supply chain servent souvent à perturber les communautés et économies locales. Il s’agit de la motivation première des groupes propageant des menaces avancées persistantes (APT) ce qui explique, d’après l’AESRI, pourquoi 50 % des attaques contre la supply chain leur sont attribuables.
Ces attaques se déroulent en deux phases : la première vise à accéder au réseau du fournisseur, quand la deuxième cherche à déployer des attaques plus ambitieuses contre les organisations membres de la supply chain. Chacune de ces étapes est mise en œuvre selon des modalités diverses : phishing, spear phishing, malwares, exfiltration de données, chiffrement, etc.
Raisons de la popularité des attaques contre la supply chain
Les attaques contre la supply chain sont de plus en plus fréquentes, car les organisations sont contraintes de protéger une surface plus vaste, mais aussi parce que la supply chain se numérise et devient plus interconnectée que jamais. La montée en puissance du cloud, des offres SaaS et des appareils connectés à Internet impose aux organisations de protéger davantage d’utilisateurs, de terminaux et d’applications, y compris ceux qui ne sont pas sous leur contrôle direct et immédiat. Par exemple, certains fournisseurs doivent accéder aux réseaux internes de leurs clients pour leur fournir des services, exposant ainsi ces organisations à de nouvelles vulnérabilités. Ce type de structure limite la robustesse de la cybersécurité au niveau du fournisseur ayant les mesures de sécurité les plus faibles.
Par rapport aux autres cybermenaces, les attaques contre la supply chain offrent un meilleur rapport récompense/difficulté, ce qui explique l’intérêt accru que les hackers leur portent et pourquoi les MSP doivent faire preuve de vigilance.
Cibles des attaques contre la supply chain
Les attaques contre la supply chain se servent des logiciels pour se propager et infecter leurs victimes. Assez logiquement, leurs principales cibles sont donc les développeurs et éditeurs de logiciels. Comme le montre le cas de Kaseya, les MSP sont aussi des cibles des attaques contre la supply chain, car ils exploitent des logiciels pour un vaste réseau de PME afin de contrôler leurs systèmes d’information. Les PME sont également des cibles de choix, car elles ne disposent pas des ressources de cybersécurité des grandes entités. D’après le rapport 2022 de Verizon Data Breach Investigations, les PME sont visées par deux fois plus de cyberattaques et de violations de données que les grandes entreprises.
Comment pouvez-vous protéger votre entreprise ?
En tant que MSP, vous protéger des attaques contre la supply chain peut vous épargner des problèmes financiers, réputationnels, réglementaires et légaux. S’il est vrai que divers facteurs rendent ce type d’attaque plus fréquent et plus difficile à éviter que les autres, vous pouvez néanmoins vous en prémunir en adoptant les solutions suivantes.
1. Protection avancée contre les menaces véhiculées par les emails
D’après l’AESRI, les malwares sont les menaces les plus utilisées dans les attaques contre la supply chain. La méthode la plus fréquente pour les distribuer reste l’email, ce qui en fait une vulnérabilité centrale pour les MSP et leurs clients.
Les solutions de sécurité de l’email peuvent certes détecter et filtrer les malwares dotés de signatures connues, mais elles sont impuissantes face aux menaces dynamiques et émergentes, comme les malwares polymorphes ou conscients de leur environnement (qui savent altérer leur code pour ne pas être détectés).
Les MSP ont par conséquent besoin d’un produit de sécurité de l’email plus sophistiqué. Les solutions de détection et réponse aux menaces basées sur l’IA offrent une protection proactive, dont l’efficacité ne dépend pas des attaques survenues précédemment. Cette technologie permet aux organisations de se prémunir contre les malwares connus et inconnus. La détection des menaces contenues dans les emails ne pouvant être efficace à 100 %, ce type de solution analyse en continu les emails pour pouvoir éliminer les menaces déjà remises et éviter ainsi qu’un utilisateur ne soit touché.
Pour être efficace, elle doit reposer sur des technologies centrales basées sur l’IA et avoir accès aux données permettant de les alimenter. Optez pour des solutions basées sur l’IA qui tirent parti de la Computer Vision, du Machine Learning et du Natural Language Processing, mais qui bénéficient également d’un jeu de données actualisé en temps réel, pertinent et suffisamment étendu. Ces solutions sont à même d’intercepter et de neutraliser les souches les plus spécialisées des malwares et d’autres menaces véhiculées par les emails.
2. Gestion du risque posé par les fournisseurs
Pour affronter les attaques contre la supply chain, les organisations doivent résoudre une vulnérabilité centrale, qui est toutefois en dehors de leur contrôle direct et immédiat : les fournisseurs tiers. Pour limiter ce risque, elles doivent mettre en place un cadre d’évaluation de la sécurité des tiers sur la durée du partenariat. Ce cadre doit prévoir une évaluation du risque de cybersécurité avant la conclusion d’un accord, l’intégration de normes et mesures de sécurité dans les contrats, et la formalisation de processus de surveillance de routine et d’audit de la conformité.
3. Sécurité Zero Trust
Le modèle de sécurité Zero Trust est un cadre de cybersécurité stratégique qui vise à combler les lacunes du modèle de sécurité périmétrique. Comme son nom l’indique, il ne fait pas confiance par défaut aux utilisateurs disposant d’un accès interne à un réseau. Au contraire, il leur impose une authentification et une autorisation continues à chaque interaction numérique au sein du réseau. Il minimise ainsi la capacité des acteurs malveillants à infiltrer des réseaux, effectuer des déplacements latéraux, lancer des attaques venues de l’intérieur, etc. Le Zero Trust combine plusieurs outils et politiques, notamment une authentification multifacteur (MFA), des contrôles d’accès et la segmentation réseau.
4. Gestion du shadow IT
Le shadow IT désigne l’utilisation non autorisée d’applications logicielles sans l’accord ou même la connaissance de votre service informatique. Avec le renforcement du télétravail et des solutions dans le cloud, le shadow IT est devenu un problème omniprésent au sein des organisations. En effet, les utilisateurs peuvent introduire des vulnérabilités dans les réseaux internes en se servant de logiciels insuffisamment sécurisés. Pour limiter le risque de compromission, les organisations doivent élaborer des politiques qui informent les utilisateurs des dangers du shadow IT et leur garantissent de disposer des outils nécessaires à leurs missions quotidiennes.
5. Formation des utilisateurs
D’après l’édition 2022 du rapport de Verizon sur les violations de données, la plupart des violations impliquent un élément humain. Par conséquent, les organisations doivent enseigner les bonnes pratiques de cyberhygiène à leurs utilisateurs, et notamment des techniques de détection et réponse aux attaques de phishing. Cette formation doit être personnalisée, automatisée et dispensée à la fois en continu et en fonction des besoins.
Attaques contre la supply chain : comment protéger votre entreprise
Les vulnérabilités de la supply chain ne vont pas disparaître du jour au lendemain. En effet, l’innovation technologique effrénée de la période actuelle étend les surfaces d’attaque et les rend plus complexes. C’est pour cette raison que les organisations comme les MSP doivent prendre des mesures fortes et proactives en déployant des solutions capables de venir à bout de ces attaques.
