/ Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?
Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?
Exemples d’attaques de la chaîne d’approvisionnement
Il existe deux principaux types d’attaques de la chaîne d’approvisionnement qui se concentrent sur le cycle de vie de l’approvisionnement ou de la valeur d’une entreprise.
Attaques par « island hopping »
Les attaques par « island hopping » sont le fait de cybercriminels qui infiltrent de grandes sociétés en ciblant des entreprises plus petites, ou dont les contrôles de sécurité sont probablement moins sophistiqués, qui font partie de la chaîne de valeur de la grande société. Comme le nom l’indique, les hackers « sautent » (ou « hop » en anglais) d’une entreprise à l’autre pour se rapprocher de leur cible principale.
Les attaques par « island hopping » visent généralement des entreprises de premier plan qui s’appuient sur un vaste écosystème numérique de fournisseurs. Il peut s’agir de fournisseurs de services gérés, de fournisseurs de matériel et de logiciels, ainsi que de partenaires technologiques et commerciaux, dont beaucoup sont connectés à diverses applications et bases de données par l’intermédiaire d’une pléthore de terminaux vulnérables.
Attaques de la chaîne d’approvisionnement
Les attaques de la « chaîne d’approvisionnement », telles que la cyberattaque de SolarWinds, sont légèrement différentes. Au lieu de rechercher les vulnérabilités d’un partenaire pour accéder au réseau d’une autre entreprise, elles visent explicitement à exploiter la confiance entre des entreprises légitimes dans le cadre d’opérations commerciales normales.
Comment fonctionne une attaque de la chaîne d’approvisionnement
Les attaques de la chaîne d’approvisionnement cherchent à s’introduire en implantant une porte dérobée dans les produits, généralement des logiciels, que les entreprises ciblées utilisent. Cela permet aux hackers de diffuser des correctifs automatiques ou des mises à jour logicielles « trojanisées » qui ouvrent la porte à des malwares et autres attaques.
Les attaques de la chaîne d’approvisionnement et par « island hopping » ont été à l’origine de violations très médiatisées et coûteuses, mais les entreprises intermédiaires peuvent également subir de graves atteintes à leur réputation et à leur activité, même si elles ne sont pas les cibles réelles de ces campagnes.
Impact des attaques de la chaîne d’approvisionnement
Lors de l’attaque SolarWinds Orion en 2020, un hacker a pu accéder aux systèmes de SolarWinds via une porte dérobée et créer des mises à jour contenant un cheval de Troie pour la plateforme SolarWinds Orion. La mise à jour contenant un cheval de Troie d’Orion a permis aux hackers de déployer des malwares furtifs sur les réseaux de 18 000 clients de SolarWinds, parmi lesquels de nombreuses agences et organisations gouvernementales américaines, notamment le Pentagone, le Département de la Sécurité intérieure, le FBI, l’armée, la marine et bien d’autres.
La porte dérobée a été diffusée via une mise à jour logicielle légitime d’un outil de surveillance et de gestion connu (et de confiance). Après l’installation de la porte dérobée, le hacker a pris des mesures pour éviter d’être détecté dans le sandbox, notamment en attendant plusieurs jours avant tout rappel de son système de commande et de contrôle (C2).
Pourquoi sont-elles si dangereuses ?
Les chercheurs en sécurité affirment que les attaques de la chaîne d’approvisionnement comptent parmi les menaces les plus difficiles à prévenir, car elles exploitent une confiance inhérente. Qui plus est, elles sont difficiles à détecter et peuvent avoir des effets résiduels plus durables. Atténuer et corriger une attaque de la chaîne d’approvisionnement n’est pas aussi simple que d’installer un antivirus ou de réinitialiser votre système d’exploitation. Ces attaques visent vos processus, c’est pourquoi ils doivent être solides dès le départ.
Pourquoi le cycle de vie du développement logiciel est important
Les vulnérabilités de la chaîne d’approvisionnement logicielle commencent dès le développement de la chaîne elle-même. Il est important de remédier aux risques potentiels de cybersécurité qui se présentent au cours du processus de développement afin de réduire au minimum les incidents de sécurité envers la chaîne d’approvisionnement.
Explorons comment le développement de logiciels peut créer des vecteurs d’attaque vulnérables lorsqu’ils ne sont pas correctement sécurisés.
Que sont les secrets ?
Dans le cadre de développement de logiciels, les secrets sont des moyens d’authentification (jetons, clés de chiffrement, mots de passe, API, etc.) qui permettent d’accéder à des informations sensibles entre utilisateurs et applications. Très souvent, les hackers et les groupes de ransomware tels que NotPetya parcourent le code source d’une entreprise pour y découvrir des vulnérabilités qu’ils exploiteront ultérieurement.
Risques de l’Open Source
Malgré leur omniprésence, les logiciels Open Source (OSS) exposent souvent une entreprise à des risques d’attaque. Bien qu’efficaces pour le développement de logiciels, les OSS augmentent la surface d’attaque et laissent la porte ouverte aux violations de données et aux malwares, deux des menaces les plus fréquentes dans les attaques de la chaîne d’approvisionnement logicielle.
L’attaque de SolarWinds met-elle en évidence les risques liés à la chaîne d’approvisionnement ?
L’attaque de SolarWinds démontre aux entreprises qu’elles doivent rester en permanence sur leurs gardes à l’égard de leurs chaînes d’approvisionnement. Elle met en évidence les vulnérabilités particulières de la fabrication d’une chaîne d’approvisionnement de logiciels et la manière dont elles peuvent constituer un risque pour des entreprises de premier plan et hautement protégées telles que Cisco, Intel et Microsoft. Elle démontre également aux responsables de la sécurité informatique qu’une fois qu’un acteur malveillant a infiltré une partie de la chaîne, il l’a infiltrée dans son ensemble.
Pour vous aider à protéger votre entreprise contre ces menaces dangereuses, nous avons dressé, dans la section suivante, une liste des bonnes pratiques qui vous aideront à protéger votre entreprise contre ces groupes et ces menaces.
Meilleures pratiques pour protéger votre entreprise
Les attaques contre la chaîne d’approvisionnement ne cessent d’évoluer et il ne fait aucun doute que les hackers trouveront de nouveaux moyens de compromettre les opérations et les données sensibles des organismes publics et des sociétés privées. Pour réduire les risques liés à la chaîne d’approvisionnement et augmenter autant que possible la sécurité de la chaîne d’approvisionnement, Zscaler recommande de prendre les mesures suivantes :
- Éliminez votre surface d’attaque sur Internet, arrêtez les déplacements latéraux, minimisez les autorisations et bloquez les activités C2 avec une architecture Zero Trust.
- Activez la fonction d’inspection TLS/SSL complète et la prévention des menaces avancées sur le trafic du workload vers Internet.
- Exécutez un sandboxing cloud inline pour identifier et neutraliser les menaces avancées et inconnues.
- Mettez en place des protections pour le trafic C2 connu avec des mises à jour continues au fur et à mesure que de nouvelles destinations se présentent.
- Exigez une authentification multifacteur pour tout accès à des cibles de grande valeur.
- Limitez l’impact des déplacements latéraux avec une microsegmentation basée sur l’identité pour les workloads du cloud.
- Choisissez des fournisseurs qui peuvent garantir les niveaux les plus élevés de confidentialité, d’intégrité et de disponibilité.
- Procédez à des évaluations continues des risques et priorisez la gestion des risques pour garantir que votre entreprise bénéficie de la meilleure protection possible.
- Organisez des formations fréquentes de sensibilisation aux bonnes pratiques de cybersécurité pour vous assurer que vos employés savent à quoi prêter attention (e-mails de phishing, etc.)
- Instaurez un cadre approprié de réponse aux incidents dans l’éventualité où une attaque serait détectée dans votre réseau.
Pour appliquer ces bonnes pratiques de sécurité de la chaîne d’approvisionnement, vous devez recruter les services d’un grand nom de la cybersécurité, disposant d’une plateforme qui inspecte le trafic inline, éliminant la menace d’attaques de malwares et de ransomwares dommageables avant qu’ils ne s’infiltrent dans votre entreprise : Zscaler.
Se protéger contre les attaques de la chaîne d’approvisionnement
Les attaques contre la chaîne d’approvisionnement sont sophistiquées et difficiles à détecter. Outre le fait de comprendre la posture de sécurité de toutes les entreprises partenaires, il est important de disposer de plusieurs couches de protection et d’une visibilité sur l’ensemble du trafic de votre entreprise. Voici quelques-uns des services intégrés proposés par Zscaler Zero Trust Exchange™ qui protègent contre les attaques de la chaîne d’approvisionnement en vous permettant de :
- Identifier et arrêter les activités malveillantes provenant de serveurs compromis en acheminant l’ensemble du trafic des serveurs via Zscaler Internet Access.
- Limitez le trafic depuis les infrastructures critiques à une liste « autorisée » de destinations connues.
- Inspecter l’ensemble du trafic SSL/TLS, même s’il provient de sources fiables.
- Activer la protection contre les menaces avancées pour bloquer tous les domaines C2 connus.
- Étendre la protection commande et contrôle à tous les ports et protocoles avec Advanced Cloud Firewall (module Cloud IPS), y compris les destinations C2 émergentes.
- Faire appel à Advanced Cloud Sandbox pour empêcher la diffusion de malwares inconnus dans les payloads de deuxième niveau.
- Limiter l’impact d’une compromission potentielle en restreignant les déplacements latéraux grâce par une microsegmentation basée sur l’identité (Zscaler Workload Segmentation) et une architecture Zero Trust.
- Protéger les applications stratégiques en limitant les déplacements latéraux grâce à Zscaler Private Access.