Si de nombreuses entreprises ont désormais pris en compte les cybermenaces qui pèsent sur elles, et adapté leur défense en conséquence, peu d’entre elles se penchent en effet sur le niveau de sécurité de leurs partenaires et fournisseurs. Or, ces derniers peuvent accéder à des données parfois sensibles, et représentent donc une porte d’entrée discrète, mais solide, vers des zones critiques du réseau.
Thibault Lapédagne, directeur cybersécurité chez CyberVadis
Les cyberattaques contre la supply chain s'accélèrent depuis 2020, les organisations doivent donc s’adapter au plus vite.
"La chaîne d’approvisionnement est une cible de choix pour les cybercriminels, car elle permet de s’infiltrer par rebond : en compromettant un fournisseur, par exemple, les hackers pourraient prendre l’ascendant sur tous ses clients. L’impact possible pour ce qui concerne la propagation et la compromission est de ce fait à considérer avec la plus grande attention.
Selon le rapport ENISA, il y aura quatre fois plus d'attaques sur la supply chain en 2021 qu'en 2020. La moitié d’entre elles sont attribuées aux groupes APT (Menace persistante avancée). Leur complexité et leurs ressources dépassent donc largement les campagnes non ciblées les plus courantes. La sophistication de ces attaques vient cependant de leur envergure et de la planification qu’elles requièrent, mais non des vecteurs d’attaques employés. Ces techniques sont bien connues et ne sauraient être contenues par une politique de sécurité stricte. Il s’agit notamment d’ingénierie sociale, d’attaque par force brute, d’exploitation de vulnérabilités de logiciel ou de configuration, ou encore de malware. Il y a donc un besoin croissant de nouvelles méthodes de protection intégrant facilement les tierces parties, afin de garantir la sécurité des organisations.
Autre enseignement du rapport, 66 % des vecteurs d'attaque utilisés contre les fournisseurs restent encore inconnus. Seulement, ce manque de capacité à enquêter et à trouver la source des vulnérabilités montre les limites de la confiance accordée aux parties tierces, à tort parfois. Améliorer le processus de transparence et de responsabilité est alors clef pour renforcer la sécurité de tous les acteurs de la supply chain et protéger les clients finaux. Pour ce faire, les entreprises doivent imposer les mêmes exigences de cybersécurité à leurs partenaires et fournisseurs qu’à elles-mêmes, et avoir une vue holistique sur les capacités de tous les maillons de sa chaîne d’approvisionnement à faire face aux cybermenaces.
Il convient donc d’interroger ses fournisseurs et ses partenaires pour évaluer leur stratégie de cybersécurité en place. Mais un questionnaire déclaratif n’est pas suffisant, car rien ne garantit formellement des règles de sécurité établies, ou que ces dernières sont effectivement adoptées par l’ensemble des employés. Pour pallier ces vulnérabilités potentielles, il est nécessaire de procéder à des audits approfondis, au cours desquels chaque contrôle de sécurité est confirmé par des preuves. Ces évaluations doivent être de plus réalisées régulièrement, car aucun tiers n’est à l’abri d’une mauvaise cyberhygiène par quelques collaborateurs qui décideraient de passer outre les exigences de cyberprotection, par lassitude ou pour simplifier leur quotidien.
Comme toute chaîne, la supply chain est aussi forte que son maillon le plus faible. Alors qu’elle est actuellement particulièrement visée par des campagnes malveillantes, du fait d’un effet de cascade potentiel, tous ses membres doivent travailler de concert pour garantir la sécurité de chacun. Et si les attaques la visant actuellement semblent sophistiquées, il ne s’agit dans les faits que de techniques connues contre lesquelles il est possible de se protéger grâce à une stratégie cybersécurité stricte et appliquée par toutes les parties qui interagissent, qu’elles soient internes ou externes. Il est ici question de responsabilité collective, pour garantir la cybersécurité et la pérennité de tout un écosystème, au cœur duquel de nombreuses organisations et acteurs interagissent."
Source : CyberVadis
Et vous ?
Que pensez-vous de cette analyse ?
Comment votre entreprise travaille-t-elle avec les parties tierces pour assurer la sécurité de chacun ?
Voir aussi :
74 % des entreprises ne surveillent pas les accès d'appareils non autorisés à leurs systèmes, alors qu'elles devraient renforcer la sécurité de leur écosystème, selon CyberVadis
Les accès privilégiés sont le talon d'Achille de la sécurité des entreprises, 83 % d'entre elles accordant un accès à des organisations ou contractants tiers
Les sinistres multipartites, appelés aussi "événements en cascade", entraînent des pertes 26 fois plus importantes que les incidents traditionnels, selon la RiskRecon