Comment feriez-vous pour savoir si une cyberattaque de votre serrure est en cours ? C’est la situation face à laquelle se sont trouvées des milliers d’organisations touchées par l’attaque de la chaîne logistique orchestrée par SolarWinds, comme l’explique Damien Frey, directeur général de Varonis France.
Au cours de l’année 2020, nous nous sommes inquiétés des attaques par ransomware qui ont menacé la disponibilité des données et des infrastructures en perturbant les gouvernements, les écoles et les hôpitaux. Ensuite, nous nous sommes inquiétés de la confidentialité de ces données, les attaquants menaçant de divulguer des informations sensibles à moins de recevoir des millions en crypto-monnaie. Aujourd’hui, nous nous inquiétons de l’intégrité du code et des données. En altérant le code source largement distribué, les cyberattaquants ouvrent une brèche qui peut s’avérer très dangereuse et compromettante.
Personne n’est à l’abri des cyberattaques
Une règle que nous devons tous avoir en tête : personne n’est à l’abri des cyberattaques. Les attaquants peuvent généralement obtenir ce qu’ils veulent avec suffisamment de temps et de motivation et à ce titre, contrer les systèmes de défense les plus perfectionnés et sécurisés. Le plus souvent, ce sont les données qu’ils ont en ligne de mire.
En 2021, les attaques de SolarWinds et de Kaseya ont eu d’importantes répercussions. Qui ont encore aujourd’hui des conséquences sur le bon fonctionnement des entreprises frappées. Les attaquants en ont tiré les leçons et, en 2022, il y a fort à parier que la supply chain numérique sera fortement perturbée, les attaquants cherchant à causer le plus de dommages possibles. Les cybers attaquants s’appuieront sur le cloud et chercheront à frapper les fournisseurs SaaS les plus populaires.
Un besoin urgent de sécuriser toute la chaine d’approvisionnement
Or, il y a un besoin urgent de sécuriser toute la chaîne d’approvisionnement d’autant que les infrastructures critiques sont dans le collimateur des cyber criminels et il y a fort à parier que cette tendance ne fera qu’accroître au cours de l’année à venir. Car bien sûr, il est décevant de voir sur le site que les nouvelles baskets que l’on a repérées sont en rupture de stock, mais ce n’est rien comparé aux prochaines cyberattaques qui affecteront les hôpitaux et autres établissements de santé et retarderont les traitements médicaux et autres livraisons de médicaments.
Réagir rapidement est important ; réagir correctement est tout aussi crucial
Les entreprises tombent parfois dans le piège de donner une priorité excessive aux attaques de la supply chain et de négliger des risques plus urgents. Par exemple, même si cela peut sembler être une bonne idée, bloquer les mises à jour de sécurité par crainte qu’elles n’introduisent davantage de portes dérobées malveillantes ferait plus de dégâts qu’autre chose. Un simple coup d’œil à la longue liste de failles de sécurité colmatées à chaque “Patch Tuesday” vous dira à quel point les mises à jour logicielles sont vitales.
Ce que vous pouvez faire
Assurez-vous que votre réponse réduit réellement le risque (désactiver les mises à jour et les correctifs de sécurité ne le fera pas). Votre chaîne d’approvisionnement fait partie de votre zone de risque, il est donc logique de choisir des fournisseurs réputés et réactifs qui adhèrent aux normes de sécurité et aux meilleures pratiques.
Pour la plupart des entreprises, ce sont les données qui sont le plus à risque – par le biais de la chaîne d’approvisionnement ou de tout autre vecteur. Cependant, les données sont rarement contrôlées aussi bien que les autres actifs. Les organisations peinent à les protéger contre les acteurs de la menace qui sont plus courants et beaucoup moins sophistiqués.
Beaucoup trop d’employés ont accès aux données
Nous constatons que beaucoup trop d’employés ont accès aux données et que celles-ci sont rarement surveillées pour éviter les abus. Cette situation est incompatible avec les principes de sécurité actuels, tels que le moindre privilège et le Zero Trust, selon lesquels aucune personne, application ou système ne doit pouvoir accéder à plus que ce dont il a besoin. Une mauvaise surveillance rend les enquêtes sur des incidents de ce type très difficiles. L’une des premières questions que nous entendons est : “Ont-ils pris des données ?”
Si vous avez identifié et hiérarchisé vos données importantes et fait en sorte que personne n’ait un accès plus large que nécessaire, votre surface de risque sera alors beaucoup plus gérable. Pour réduire davantage le risque, vous devez surveiller la manière dont les données sont utilisées pour vous assurer que les personnes ayant un accès n’ont pas été compromises.
Avec la quantité de données que les entreprises créent et partagent chaque jour, ces dernières ne peuvent pas analyser les données pour en déterminer la criticité, atteindre le moindre privilège ou le Zero Trust, ou encore détecter un comportement inhabituel sans une automatisation sophistiquée. Les experts sécurité sont déjà très sollicités. Les projets de nettoyage manuel et les enquêtes sans fin ne sont pas viables. Les acteurs de la menace sont de plus en plus compétents, motivés et patients.