Pour tenter de pntrer un rseau informatique, les hackers visent toujours le maillon plus faible. Et la numrisation de la chane dapprovisionnement (Supply Chain) en a fait une cible de choix depuis quelques annes. Le phnomne semble stre amplifi durant la priode de pandmie comme en tmoignent diverses tudes*: BlueVoyant estime que 97% des entreprises ont t impactes par une violation de cyberscurit ciblant leur chane dapprovisionnement, tandis que Trend Micro montre dans une tude quune entreprise mondiale sur deux (52 %) a dj relev une attaque par ranongiciel au sein de lorganisation de sa chane d’approvisionnement.
Fabien Pereira Vaz, Technical Sales Manager France, Paessler AG
Pourquoi est-elle si difficile scuriser ?
En soi, une attaque au niveau de la chaine dapprovisionnement na rien de nouveau. La difficult rside dans le fait de parvenir la maitriser en raison du grand nombre doutils, de logiciels et de services qui composent lorganisation dune entreprise. Do limportance, pour faire face aux menaces, de scuriser de manire coordonne et simultane lensemble des maillons de la chane dapprovisionnement afin quaucun participant de lcosystme ne soit le maillon faible cibl par les hackers.
Il sagira donc de faire prendre conscience certains prestataires, en particulier ceux qui estiment ne pas dtenir dinformations sensibles et donc rechignent faire leffort, quils menacent lensemble la chane. Ce sont souvent les petites structures qui se sentent moins concerns ou ne disposent pas des budgets et outils ncessaires.
Prvenir et valuer : limportance des audits
En raction, les grandes entreprises ont souvent ragi de manire contractuelle, mme si lajout dune clause contractuelle ne constitue pas un rempart face une attaque cyber. Dautres soumettent leurs prestataires une srie de questionnaires qui restent toutefois dclaratifs et donc peu fiables surtout si lon considre que la personne qui rpond na peut-tre ni le temps ni les comptences pour rpondre sur lensemble des points voqus dans le questionnaire.
En outre, valuer la scurit de ses partenaires reste coteux et chronophage. Les plus grandes entreprises vont procder un audit par le RSSI ou confier cet audit un cabinet indpendant en se focalisant souvent sur ses principaux fournisseurs. Cette mthode parat nanmoins plus difficile dcliner lorsque lentreprise compte plusieurs dizaines de fournisseurs.*
Les audits restent la meilleure manire de vrifier la vracit de ce qui a t dclar dans les questionnaires. Et mieux vaut les mener de manire alatoire et proactive. Or, ils sont trop souvent mens selon un calendrier prdfini, sans forcment tenir compte de lvolution du paysage des menaces.
Enfin, retenir des fournisseurs certifis ISO 27001 et des solutions labellises par lANSSI reprsentera une dmarche plus sre en termes de cyberscurit.
Garder les bons rflexes
Pour la direction informatique, les menaces qui psent sur la chane dapprovisionnement ne sont pas diffrentes de celles qui psent sur les autres infrastructures informatiques. En appliquant les bonnes mthodes -quil sagisse de mise jour rgulire des logiciels et des correctifs, de protocoles scuriss par des identifiants forts, de politiques Zero Trust, etc elle doit tre en mesure de garantir une scurit avance.
Pour la renforcer davantage, elle veillera optimiser sa visibilit globale sur lensemble des oprations qui concernent son rseau. Ainsi, lorsquune entreprise collabore avec de nouveaux partenaires ou quelle simplante sur un nouveau march, elle doit veiller pouvoir conserver une excellente transparence et visibilit sur lensemble de son rseau.
Souvent, les systmes en amont sont confronts des incidents de scurit qui exposent le rseau dune entreprise. Pour prvenir tout risque de violation des donnes, le cryptage des donnes la source reprsente aujourdhui la meilleure protection. Lentreprise doit donc vrifier que chaque systme connect respecte les meilleures pratiques de scurit.
En conservant les lignes de communications ouvertes avec les systmes en amont, lentreprise peut surveiller les vnements de scurit et prendre les mesures ncessaires pour faire face en cas dattaque. Il sera galement intressant dautomatiser les alertes de scurit et de maintenir une communication constante en cas de crise pour une meilleure raction coordonne. Pour parvenir mettre en uvre ces normes, lentreprise devra veiller les faire approuver par lensemble de ses fournisseurs et systmes tiers.
Enfin, il convient de surveiller lensemble des points dentre du rseau. Si un accs scuris par un VPN constitue une exigence minimum de nos jours, il est possible de se projeter dans ltape suivante et tirer parti de lanalyse des donnes pour surveiller lactivit des tiers sur le rseau de lentreprise et dtecter la moindre anomalie pour se montrer le plus ractif possible.
Si un outil de surveillance ne peut pas tre considr comme un logiciel de scurit proprement parler, il reprsente nanmoins une brique importante du concept de scurit globale. En surveillant le bon fonctionnement et les actualits des pares-feux et des antivirus, la surveillance est en mesure de dtecter une activit inhabituelle au sein du rseau et ainsi ventuellement de dcouvrir des attaques de logiciels malveillants. Elle joue galement un rle important dans le concept de confiance zro, par exemple lorsqu’il s’agit de surveiller l’tat des appareils.
Une supervision centralise
Les quipes de cyberscurit s’appuient sur un vaste rseau d’outils pour surveiller leurs rseaux. En centralisant le reporting via une solution de centre d’oprations de scurit (SOC) ou quivalent, elles pourront classer facilement les menaces et les risques lis au rseau et ainsi hirarchiser leur rponse aux incidents de scurit en valuant le risque li un actif compromis. Par exemple, une violation des donnes d’un client est-elle plus risque qu’une attaque de logiciels malveillants sur une petite partie du rseau ? Classez chaque actif rseau et chaque point d’extrmit en fonction du risque et surveillez-les en consquence.
Un outil de reporting centralis peut donner le contexte d’un point de vue organisationnel et aider lentreprise traiter plus rapidement les causes profondes.
Scuriser la chane dapprovisionnement est un dfi en raison du flux constant de donnes auquel les systmes sont soumis. Face lvolution constante des menaces, une approche dynamique coordonnes avec lensemble des partenaires de lentreprise, doit permettre de rduire les menaces auxquelles lentreprise se trouve expose.
propos de Paessler AG
Depuis 1997, Paessler AG propose des solutions de supervision destines aux entreprises de tous les secteurs d’activit, quelle que soit leur taille, des PME aux grandes entreprises. Les produits de l’entreprise aident les clients optimiser leurs infrastructures IT, OT et IoT et rduire ainsi leur consommation nergtique ou leurs missions.
Source : Paessler AG
Et vous ?
Trouvez-vous cette analyse pertinente ?
Voir aussi :