La supply chain est devenue ces dernières années l’une des cibles privilégiées des cyberattaquants. Les cyberattaques visant la chaîne d’approvisionnement cherchent à atteindre une entreprise en ciblant l’un de ses fournisseurs ou de ses sous-traitants. Ces attaques, qui exploitent les relations de confiance et les interdépendances technologiques existant entre différentes entités, sont de plus en plus redoutées.
Quels sont les principaux risques informatiques pesant sur la supply chain ? Comment mieux sécuriser la supply chain en adoptant une meilleure gestion des risques ? Quelles sont les recommandations actuelles en matière de cybersécurité de la supply chain ? Explorons l’une des tendances majeures en matière de cybersécurité.
Pourquoi la cybersécurité est-elle si importante pour la supply chain ?
Numérisation de la supply chain et essor des risques informatiques
Déjà bien engagée, la numérisation de la supply chain s’est accélérée avec la crise du Covid-19. L’objectif de cette transformation numérique est d’optimiser la chaîne d’approvisionnement dans son ensemble en fluidifiant notamment la circulation de l’information. L’interconnexion entre les différents acteurs de la supply chain permet par exemple de partager des données en temps réel et d’ajuster ainsi la production et les stocks au plus près de la demande.
Cette digitalisation et cette interconnexion entre les différents acteurs mettent au premier plan les questions de gestion des risques informatiques et de protection des données. Dans ce cadre de systèmes interconnectés, l’exploitation d’une seule vulnérabilité chez l’un des acteurs peut en effet affecter les autres maillons de la chaîne logistique, avec des conséquences graves (pertes financières, perte de confiance, etc.)
Inadaptation des mesures traditionnelles de cybersécurité
Si les mesures traditionnelles de sécurité informatique (antivirus, firewall, systèmes de détection d’intrusion, etc.) restent essentielles, elles ne sont en revanche pas suffisantes pour traiter les risques cyber inhérents aux supply chains modernes, fortement numérisées et avec de nombreux points d’entrée.
D’autre part, ces mesures de sécurité se concentrent généralement sur les menaces connues, dans le cadre d’une approche réactive plutôt que proactive. Elles sont, de ce fait, peu efficaces contre des attaques sophistiquées telles que les attaques de type « Zero-Day », les fileless malwares (malwares sans fichier) ou encore les malwares polymorphes. La sécurisation de la supply chain passera par la mise en place de nouvelles approches.
Enjeux autour de la protection des données de la supply chain
Les données sont au cœur de la chaîne logistique. Elles garantissent notamment le bon déroulement des activités, le respect des délais, l’optimisation des coûts et l’amélioration de la productivité. Les menaces cyber visant la supply chain peuvent causer différents types d’atteintes aux données :
• Inaccessibilité de certaines données pouvant perturber ou interrompre l’activité,
• Corruption de données impactant les prévisions et les volumes de production,
• Vol de données sensibles dans le cadre d’une opération d’espionnage industriel,
• Vol de données clients affectant la réputation de l’entreprise.
Menaces et vulnérabilités auxquelles est confrontée la supply chain
Risques informatiques liés l’interdépendance technologique et aux fournisseurs tiers
Si cette numérisation de la supply chain offre aux entreprises des résultats intéressants en matière d’optimisation de leurs processus et de satisfaction client, elle a également des revers pour ce qui est de la cybersécurité. Cette situation contraint les équipes IT à intégrer de plus en plus de composants tiers et à interconnecter des parties de leur système d’information avec d’autres acteurs de la chaîne logistique (et donc à leur fournir des accès, par exemple). Cela multiplie les vulnérabilités et rend le système d’information plus difficile à maîtriser.
Les chaînes d’approvisionnement impliquent souvent plusieurs fournisseurs tiers dont les approches technologiques et les niveaux de maturité cyber peuvent être très hétérogènes. Il devient très difficile de fournir un niveau de sécurité commun aux différents acteurs lorsque chacun des fournisseurs tiers dispose de ses propres outils et processus de sécurité.
Les risques liés à la chaîne d’approvisionnement logicielle
Les attaques visant les logiciels sont particulièrement intéressantes pour les cybercriminels. Il leur suffit en effet d’exploiter une vulnérabilité pour toucher potentiellement des centaines, voire des milliers de clients utilisateurs du logiciel en question. En accédant à des zones qui leur sont habituellement difficiles d’accès, les attaquants peuvent ainsi procéder à des opérations plus poussées : diffuser un malware, voler des données, etc. D’après Gartner, d’ici 2025, 45 % des organisations mondiales auront subi une attaque sur leur chaîne d’approvisionnement logicielle (un chiffre qui sera multiplié par 3 par rapport à 2021).
Exemples de cyberattaques visant la supply chain
SolarWinds (2020) : violation de données par exploitation d’une mise à jour logicielle
Lors de leur opération, les attaquants ont injecté du code malveillant (un malware appelé « Sunburst ») dans une mise à jour légitime du logiciel de gestion IT Orion, un logiciel développé par l’entreprise SolarWinds. Le logiciel malveillant a fourni une backdoor aux attaquants, leur permettant d’accéder au SI et aux données des organisations ayant téléchargé la mise à jour légitime (plus de 18 000 clients). De grandes entreprises (dont Microsoft) et plusieurs départements d’État américains figuraient notamment parmi les utilisateurs du logiciel Orion.
Kaseya (2021) : ransomware par exploitation d’une faille « Zero-Day »
En juillet 2021, un groupe de cyberattaquants s’en est pris au logiciel VSA. Édité par la société Kaseya, VSA est un logiciel de gestion de parc informatique à distance. Les cyberattaquants ont ici exploité une faille de type « Zero-Day » pour infecter le logiciel VSA en y diffusant un rançongiciel. Celui-ci s’est ensuite répondu sur les machines des clients de Kaseya. Plus de 1 000 entreprises auraient été touchées.
Bonnes pratiques et recommandations pour assurer la cybersécurité de la supply chain
Adopter le principe du moindre privilège
Les vulnérabilités de la supply chain sont fortement liées au nombre de portes d’entrée au sein des systèmes d’information (accès distants, plateformes cloud, gestion déléguée des infrastructures IT, etc.) et à la difficulté d’identifier et de répertorier clairement l’ensemble de ces portes d’entrée. L’élaboration d’une cartographie du système d’information peut y aider.
D’autre part, certaines organisations attribuent un nombre trop important d’accès et d’autorisations à leurs salariés, partenaires et fournisseurs. Cette situation facilite les attaques contre la supply chain. Mettre en place une politique du moindre privilège est au contraire une pratique fortement recommandée. Chacun possède uniquement les autorisations strictement nécessaires dans le cadre de ses missions.
Sécurité des réseaux : opter pour la segmentation
Les différents acteurs d’une chaîne d’approvisionnement n’ont pas nécessairement besoin d’accéder à l’ensemble du réseau d’une organisation partenaire. Afin de limiter les risques, l’une des bonnes pratiques consiste à segmenter le réseau afin de le diviser en différentes zones, chacune étant réservée à des activités distinctes. De cette manière, si l’une des parties du réseau est compromise dans le cadre d’une cyberattaque, le reste du réseau reste quant à lui correctement protégé.
Gestion des risques : penser aux interdépendances entre les systèmes
La gestion des risques « traditionnelle » identifie les différents actifs critiques et les protège de manière isolée. Cette approche n’est aujourd’hui plus satisfaisante, étant données les nombreuses couches et interconnexions au sein des systèmes d’information. Ceci est particulièrement vrai dans le cas des systèmes d’information de la supply chain, qui intègrent de nombreuses solutions technologiques reliées entre elles et connectées avec les solutions de fournisseurs, prestataires et sous-traitants. Il s’agit d’un point souligné par Wavestone dans son livre blanc « Supply chain x Cybersécurité », publié en février 2022.
Il faut au contraire répertorier les relations entre les différents actifs et identifier les risques découlant de ces interdépendances. Ici encore, mettre en place une cartographie du SI peut aider à mieux identifier les interdépendances, les risques et les failles en cascade. Mettre en place un plan de continuité d’activité et planifier la réponse en cas d’incident permettront aux organisations de mieux se préparer à d’éventuels incidents de sécurité, de savoir comment y répondre pour mieux y faire face.
Développer une cybersécurité centrée sur l’humain
Si la stratégie de cybersécurité de la supply chain s’appuie sur des choix technologiques pertinents, elle doit également intégrer le comportement humain. En tant qu’utilisateurs, les humains interagissent avec les systèmes et peuvent contribuer à la robustesse et à la résilience des infrastructures. L’analyse comportementale permet par exemple de mieux identifier des risques en fonction d’un contexte, avant que ces risques ne deviennent de véritables incidents de sécurité.
Sensibiliser les équipes supply chain aux risques cyber (lors du choix des équipements métiers, par exemple) et les former aux bonnes pratiques d’utilisation du SI est également crucial pour faire de la sécurité de la supply chain une responsabilité partagée.
Quels impacts des cyberattaques sur la supply chain ?
Les cyberattaques affectant la supply chain sont aujourd’hui en mesure de perturber durablement le déroulement des activités d’une entreprise. Dans un contexte d’interdépendance accrue entre les différents acteurs de la chaîne d’approvisionnement, la cybersécurité de la supply chain est appelée à devenir une priorité stratégique. Mieux identifier les menaces et leurs impacts potentiels, mieux connaître le niveau de sécurité des différents acteurs de la supply chain, se préparer à détecter et à réagir à d’éventuels incidents sont autant d’actions qui contribuent à améliorer la résilience des systèmes. L’entrée en application de la directive NIS 2 participera d’ailleurs à mieux sécuriser la supply chain.
Vous aimeriez savoir comment OverSOC peut vous aider à sécuriser votre SI ? Contactez-nous.
