Il s’agit d’une tendance forte ces derniers mois chez les attaquants : s’en prendre à un sous-traitant ou utiliser une vulnérabilité d’un progiciel pour accéder à sa cible. Ces attaques sur la Supply Chain IT imposent une nouvelle posture de défense.
Une étude Ponemon de 2020 évaluait à 56 % la part des attaques informatiques provenant des tierces parties. Il peut s’agir d’un simple compte e-mail dont le mot de passe a été mis en vente sur le Dark Web et qui est utilisée par l’attaquant dans le cadre d’une attaque de phishing. Autre exemple : une faille de sécurité chez un tiers qui expose l’entreprise à une attaque comme ce fut le cas dans les affaires Solarwinds ou Kaseya. Axel Castadot, responsable de la division connaissance & anticipation de la sous-direction opérations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) résume : « Les attaques sur la Supply Chain sont un phénomène qui se développe. Passer par un sous-traitant, un prestataire ou un produit installé est une tendance pour les attaques de masse, alors qu’il y a quelques années il s’agissait d’une technique réservée aux attaques d’espionnage de haut niveau. »
Une indispensable évaluation du niveau de sécurité des fournisseurs
La première approche mise en place par les grandes entreprises a été la dimension contractuelle. L’ajout de clauses cyber aux contrats peut avoir un intérêt sur le plan juridique mais en pratique une clause contractuelle ne constitue en rien un rempart contre les attaques informatiques. La démarche la plus courante chez les grands comptes, ce sont les questionnaires diffusés par la direction des achats avec le concours de l’équipe du CISO. « C’est une approche assez courante mais qui n’est pas très fiable du fait du manque de vérification des éléments avancés par le fournisseur » souligne François Samarcq, Vice-President Sales de Cybervadis, un prestataire spécialisé dans la notation de la posture de cybersécurité des parties tierces. « Les fournisseurs sont ensevelis sous les questionnaires de ce type et la personne qui doit répondre n’a pas toujours toutes les compétences sur l’ensemble des points abordés. »
Les outils de screening tels que BitSight, SecurityScorecard, RiskReckon/Mastercard délivrent une évaluation purement technique de l’exposition des fournisseurs aux attaques, une approche bien trop limitée selon le responsable : « Cette analyse reste limitée à une vue externe du système d’information du fournisseur. L’évaluation n’a pas de vision sur la politique de sécurité interne de l’entreprise, par exemple, son plan de continuité d’activité. En outre, c’est une approche qui est relativement imprécise car il faut établir un inventaire d’adresses IP sur lesquelles lancer le scanner. Or pour les grandes structures internationales, cela peut s’avérer très complexe. » L’approche défendue par Cybervadis s’appuie sur une évaluation avec revue de preuves ; « Nous demandons à l’entreprise évaluée de nous fournir les preuves aux réponses de son questionnaire. Des analystes réalisent cette revue de preuves pour chaque réponse des fournisseurs ». Sanofi, Carrefour, Total ou encore Air Liquide ont été séduits.
Lors d’une table ronde organisée par Solutions-Numériques, Raphael Marichez, Regional Chief Security Officer Europe du Sud chez Palo Alto Networks, a souligné la problématique de sécuriser les applications déployées dans les entreprises.
Des meilleures pratiques et des outils à déployer en interne
« Ni le DSI ni le RSSI n’ont de visibilité sur l’ensemble des composants logiciels embarqués dans leurs progiciels. Quand vous êtes DSI et que vous achetez un progiciel, l’éditeur vous informe de ses propres vulnérabilités, mais ne liste pas l’ensemble des composants de son logiciel. Or il faut mettre à jour l’ensemble de ces composants pour le sécuriser. C’est ce qui s’est passé avec Log4J en décembre dernier. » Pour ne plus laisser les RSSI aveugles face à ce type de vulnérabilités, l’éditeur a récemment intégré des outils de visibilité sur la Supply Chain logicielle à sa suite Prisma Cloud.
Pour Sébastien Viou, directeur Cybersécurité Produit & Cyber-Evangeliste chez Stormshield, il est nécessaire de compléter ce type d’outils de nouvelles pratiques pour les entreprises qui développent leurs propres logiciels : « Le Security by Design n’est pas qu’un concept, ce sont des pratiques de contrôle à mettre en place. Il faut absolument maîtriser son cycle de développement. » Se tourner vers des fournisseurs certifiés ISO 27001 et des solutions de cybersécurité labellisées par l’ANSSI est certainement une démarche plus coûteuse, mais un pas certain vers une Supply Chain IT plus sûre.