By Face à la multiplication des cybermenaces, la sécurité de la supply chain est devenue une priorité absolue dans l’agenda des entreprises.
Depuis quelques années, des entreprises telles qu’Okta, MOVEit et Snowflake ont été la cible d’attaques massives qui ont provoqué des violations de données significatives au sein de grandes entreprises à travers le monde. L’exemple de Solarwinds est encore dans toutes les mémoires. Et depuis, le volume de ce type d’attaques n’a cessé de croître.
D’après Gartner, près de 50 % des entreprises seront victimes d’une attaque contre leur chaîne d’approvisionnement logicielle d’ici 2025. De son côté, l’Agence de cybersécurité de l’Union européenne (ENISA) estime que ces attaques pourraient même représenter la menace principale à l’horizon 2030. En revanche, s’en tenir uniquement aux risques inhérents aux logiciels est une grossière erreur. Toute connexion qui permette d’accéder à un réseau expose l’entreprise à des risques qu’il serait dangereux de sous-estimer.
Pour préserver leur cyberrésilience et garantir la continuité de leurs activités, les entreprises doivent tenir compte des risques inhérents à leurs chaînes d’approvisionnement numériques. Autrement dit, elles doivent abandonner sans attendre les modèles de sécurité traditionnels, désormais obsolètes et incapables de les protéger contre les menaces actuelles.
Intensification des menaces contre la chaîne d’approvisionnement
Désormais conscients qu’attaquer la chaîne d’approvisionnement peut s’avérer à la fois moins risqué et plus lucratif, les acteurs malveillants redoublent d’efforts pour exploiter ces failles stratégiques.
L’adoption généralisée du cloud n’a fait qu’exacerber ce défi. Les entreprises s’appuient de plus en plus sur des services cloud, souvent sans disposer d’une compréhension précise de la façon dont ces services s’intègrent à l’ensemble de leur infrastructure réseau. Selon la dernière étude d’Illumio, 46 % des responsables de la sécurité déclarent manquer de visibilité sur la connectivité de leurs services cloud. Avec plus de la moitié des violations de sécurité imputables au cloud, elles doivent absolument éliminer ces zones d’ombre si elles veulent protéger efficacement leurs infrastructures numériques.
Le poids des réglementations sur la chaîne d’approvisionnement
Pour renforcer la cyberrésilience, l’Union européenne a adopté des réglementations telles que le DORA (Digital Operational Resilience Act) et la directive NIS2 (Network and Information Systems 2). L’objectif de ces deux textes est de sécuriser la supply chain et de responsabiliser les entreprises en matière de cybersécurité.
DORA s’adresse plus particulièrement aux fournisseurs de services informatiques et établit une approche rigoureuse en définissant de manière précise les exigences de conformité pour les entreprises du secteur financier et leur prestataires. Ces dispositions rappellent l’importance d’une compréhension exhaustive des risques liés aux tiers et s’inscrivent dans une démarche globale permettant d’assurer la continuité opérationnelle de l’entreprise.
Le principal objectif de ce cadre réglementaire est de renforcer la résilience opérationnelle dans l’ensemble du secteur financier. Il faut pour cela que les entreprises identifient les systèmes et les données les plus critiques pour leurs opérations, qu’elles évaluent les risques qui leur sont associés et qu’elles analysent les vecteurs d’attaque potentiels, dont ceux qui peuvent menacer leurs chaînes d’approvisionnement.
La directive NIS2 accorde elle aussi une attention particulière aux risques de la chaîne d’approvisionnement des infrastructures essentielles. Ses exigences en matière de gestion des risques introduisent des politiques de sécurité plus strictes, bien qu’elles soient moins détaillées que celles prévues par DORA. Toutefois, l’objectif fondamental reste le même : renforcer la résilience opérationnelle afin d’assurer la continuité des services critiques, même en cas de cyberattaques.
La sécurité de la chaîne d’approvisionnement : une approche basée sur les risques
Toutes les entreprises sont confrontées aux vulnérabilités propres à leur chaîne d’approvisionnement. Il n’existe malheureusement pas de remède miracle pour les éradiquer.
Quel que soit leur budget, toutes les entreprises se doivent de sécuriser leur chaîne d’approvisionnement grâce à une approche fondée sur les risques. Pour réussir, elles doivent concentrer leurs efforts sur leurs actifs, leurs charges de travail et leurs réseaux les plus critiques, ceux dont la compromission pourrait gravement nuire au fonctionnement et à la réputation de leur organisation.
Une fois les actifs critiques identifiés, les équipes de sécurité peuvent anticiper les menaces en cartographiant les voies d’attaque potentielles et en ciblant les zones de vulnérabilité prioritaires. Le périmètre de ces analyses doit s’étendre au-delà des frontières de l’entreprise pour inclure les tiers connectés. Les points d’accès sont nombreux : logiciels de comptabilité ou de paie basés sur le cloud, sous-traitants, services de maintenance ou tout prestataire de nettoyage ayant accès au système. Ainsi, toute personne ou entité au sein de la chaîne d’approvisionnement, même avec un accès restreint au réseau, peut servir de vecteur pour une attaque.
Le Zero Trust est essentiel
Une fois les connexions entrantes et sortantes avec les fournisseurs clairement identifiées, la prochaine étape consiste à encadrer et à restreindre l’accès aux ressources. Dans ce processus, il est indispensable d’appliquer le Zero Trust. Inspiré du principe « ne faire confiance à personne, tout vérifier », ce modèle exclut toute confiance implicite dans la chaîne d’approvisionnement. Chaque tentative d’accès est soumise à une vérification stricte pour empêcher les acteurs malveillants de contourner les systèmes de sécurité et d’atteindre leurs cibles.
Bien que l’Union européenne n’ait pas explicitement adopté le Zero Trust, de nombreux éléments des réglementations DORA et NIS2 reflètent les principes de cette approche. En appliquant des mesures strictes pour restreindre l’accès qui n’autorisent que les utilisateurs indispensables et authentifiés, ces normes contribuent à réduire les risques associés à des chaînes d’approvisionnement numériques complexes.
La résilience, une approche plus réaliste que la prévention
L’idéal serait sans doute de prévenir tous les incidents avant qu’ils ne se produisent. Malheureusement, la réalité est souvent bien différente. Des attaques comme celle qui a ciblé la chaîne d’approvisionnement de SolarWinds, où des malwares ont été déployés via des logiciels légitimes déjà installés, montrent à quel point il est difficile d’anticiper ce type de menaces. Des mesures proactives, telles que la microsegmentation, permettent de limiter la propagation des violations et peuvent considérablement réduire l’impact opérationnel d’une attaque.
La résilience, plus pragmatique que la prévention, aide les organisations à allouer efficacement leurs ressources. En identifiant leurs principales vulnérabilités, elles peuvent prioriser leurs défenses et adopter des stratégies adaptées pour protéger leurs systèmes.
Segmenter l’environnement en zones sécurisées soumises à des processus de vérification stricts basés sur le Zero Trust constitue une défense solide contre les attaques qui exploitent des tiers de confiance pour infiltrer le réseau. Par ailleurs, cette approche bloque la progression latérale des menaces déjà présentes dans le système et protège ainsi les actifs critiques contre tout accès non autorisé.
Renforcée par les réglementations DORA et NIS2 qui préconisent une gestion de la sécurité flexible et pragmatique, cette stratégie empêche les acteurs malveillants et les malwares de se déplacer facilement au sein du réseau.
Éliminer la confiance par défaut au sein des systèmes
À l’horizon 2030, les attaques contre la supply chain ne seront qu’un aspect d’un problème bien plus global : la confiance implicite accordée à nos chaînes d’approvisionnement.
Les entreprises ne peuvent pas se permettre d’ignorer les risques qui pèsent sur leur chaîne d’approvisionnement. Elles doivent adopter une approche de sécurité axée sur les risques, protéger en priorité leurs actifs critiques et réagir rapidement aux attaques dès qu’elles se manifestent.
Une meilleure compréhension et un examen plus rigoureux de toutes les connexions tierces, étayés par des technologies avancées comme la microsegmentation pour limiter les impacts des brèches, permettra aux entreprises de mieux protéger leurs activités contre les menaces qui les guettent.
