Leçons tirées des récentes attaques contre la chaîne d’approvisionnement : comment mieux se préparer pour l’avenir ?

Les attaques contre la chaîne d'approvisionnement ont augmenté ces dernières années, exposant même les organisations les plus sécurisées à des risques inattendus. Une attaque contre la chaîne d'approvisionnement se produit lorsque des pirates compromettent une organisation en infiltrant un partenaire tiers qui fournit des logiciels ou des services essentiels. Ce type d'attaque exploite la confiance entre les entreprises et leurs fournisseurs, permettant aux attaquants de distribuer du code malveillant par le biais de mises à jour ou de services apparemment légitimes.

L'impact peut être considérable, car plusieurs organisations pourraient être affectées par la compromission du même fournisseur.

Certaines attaques, comme la porte dérobée XZ Utils découverte dans les distributions Linux, ont montré que même les logiciels open-source peuvent être utilisés comme armes. Dans ce cas, un contributeur a injecté une porte dérobée dans un outil de compression largement utilisé, exposant les systèmes à l'exécution de code à distance. Cette attaque a fait écho à des incidents tels que SolarWinds, soulignant la nécessité de sécuriser toute la chaîne d'approvisionnement, des fournisseurs de confiance aux outils open-source.

Pour faire face à ces menaces croissantes, les organisations doivent adopter une approche proactive pour sécuriser leurs chaînes d'approvisionnement. Voici les principales leçons tirées pour se préparer à l'avenir.

1. Identifier les menaces

Une défense efficace commence par une compréhension approfondie des risques au sein de votre chaîne d'approvisionnement. Cela commence par l'identification des actifs critiques, la cartographie des fournisseurs et l'évaluation de leurs pratiques de sécurité.

Où sont les joyaux de la couronne ?

La première étape consiste à identifier les actifs critiques pour l'entreprise qui sont les plus à risque et les fournisseurs qui peuvent les impacter. Cela guidera les efforts de sécurité et l'allocation des ressources.

Sur la base de cette première évaluation, définissez une base de protection à laquelle les fournisseurs doivent se conformer, en ce qui concerne les actifs et les informations de l'organisation. Cela doit, bien sûr, correspondre aux produits ou services contractés auprès du fournisseur.

Quels sont les risques de sécurité liés à la chaîne d'approvisionnement ?

Assurez-vous du niveau de sécurité de vos fournisseurs, non seulement des fournisseurs directs mais aussi de leurs partenaires. Une vulnérabilité chez un fournisseur de deuxième niveau – voire de troisième niveau – peut exposer votre organisation à des risques significatifs. Des évaluations régulières aideront à comprendre où se trouvent les faiblesses.

2. Mettre en place des contrôles

Une fois les risques compromis, il est essentiel d'établir un contrôle sur votre chaîne d'approvisionnement en définissant des attentes claires en matière de sécurité et en assurant la conformité.

Il est important de développer et de communiquer les normes de sécurité minimales auxquelles les fournisseurs doivent adhérer. Ces normes peuvent ensuite être appliquées et imposées par le biais d'accords contractuels. Collaborer avec les fournisseurs aide également à sensibiliser aux risques de sécurité de la chaîne d'approvisionnement.

Des protocoles clairs pour la gestion des incidents de sécurité doivent être établis. Il est crucial que les deux parties prenantes — l'organisation et ses fournisseurs — soient prêtes à collaborer rapidement en cas de violation de la sécurité, avec des étapes prédéfinies pour contenir et résoudre l'incident.

3. Mise en oeuvre de la détection : Rôle critique des cas d'utilisation dans les attaques contre la chaîne d'approvisionnement

Dans le contexte d'un Centre des opérations de sécurité informatique (CSOC), les cas d'utilisation sont essentiels pour guider les processus de détection et de réponse. Un cas d'utilisation définit des scénarios ou des conditions spécifiques sous lesquels des événements doivent déclencher des alertes, permettant aux équipes du CSOC de se concentrer sur les menaces pertinentes.

En créant des cas d'utilisation ciblés basés sur l'environnement unique d'une organisation, tels que les risques spécifiques à l'industrie ou les vecteurs d'attaque courants, les équipes de sécurité peuvent minimiser les risques en cas de compromission d'un fournisseur.

For example, in a supply chain risk, it could be possible to monitor unauthorized lateral movement, data exfiltration, or access attempt to information not pertaining to the supplier. Par exemple, dans le cadre d'un risque lié à la chaîne d'approvisionnement, il pourrait être possible de surveiller les mouvements latéraux non autorisés, l'exfiltration de données ou les tentatives d'accès à des informations ne concernant pas le fournisseur.

La surveillance des mouvements latéraux potentiels peut être effectuée en suivant des modèles de trafic réseau inhabituels entre des systèmes qui ne communiquent généralement pas. Cela permet au CSOC d'identifier quand un attaquant se déplace sur le réseau à la recherche d'actifs plus précieux, souvent après avoir compromis un système de fournisseur. Par exemple, après une mise à jour planifiée de l'ERP, si le système hébergeant la solution en question commence à se connecter à des dizaines d'actifs sur le réseau, cela pourrait être lié à un problème potentiel avec la mise à jour, indiquant éventuellement une attaque contre la chaîne d'approvisionnement.

De même, la surveillance de l'exfiltration de données peut détecter le transfert d'informations sensibles en dehors de l'organisation. Les cas d'utilisation qui suivent des transferts de données anormaux, tels que l'envoi de volumes importants de données vers des domaines externes ou l'utilisation inattendue de protocoles de transfert de fichiers, peuvent déclencher des alertes avant que des dommages significatifs ne soient causés.

Une dernière option à mettre en œuvre peut être la détection de comportements anormaux, par exemple, la surveillance des accès échoués et réussis dans l'environnement global. Si le compte d'un fournisseur commence soudainement à interagir avec beaucoup plus de dispositifs que d'habitude, cela pourrait indiquer un compte compromis ou une activité non autorisée.

Souvent, le développement et l'affinement des cas d'utilisation aident à aligner les stratégies de détection avec les paysages de menaces en évolution, garantissant que le CSOC reste proactif dans l'identification de nouvelles formes d'attaques et minimise l'impact potentiel sur l'organisation.

4. Une meilleure pratique : le principe du moindre privilège

L'une des pratiques clés pour réduire les risques est de mettre en œuvre le principe du moindre privilège, en particulier pour les comptes et les accès rarement utilisés. Assurez-vous que les fournisseurs n'ont que les accès nécessaires pour accomplir leurs fonctions et rien de plus.

En plus de la configuration initiale, revoir et ajuster régulièrement ces permissions aidera à prévenir les accès non autorisées ou les violations potentielles.

5. Vérifier la conformité

Définir la base de référence ne suffit pas pour garantir une chaîne d'approvisionnement sécurisée, une étape obligatoire consiste à vérifier régulièrement que les fournisseurs respectent les exigences de sécurité prédéfinies.

Pour identifier les vulnérabilités potentielles, une organisation peut planifier des audits réguliers, des évaluations et des tests de pénétration. L'évaluation et l'analyse des résultats sont essentielles pour garantir que les mesures de sécurité sont respectées tout au long de la chaîne d'approvisionnement.

6. Amélioration continue

Le paysage de la sécurité évolue constamment. Il est donc crucial de promouvoir l'amélioration continue et de construire des relations de confiance avec les fournisseurs. Une étape potentielle de mise en œuvre pourrait être d'encourager les fournisseurs à se tenir informés des menaces émergentes et des dernières technologies. L'organisation peut soutenir cela en partageant des informations sectorielles pour aider les fournisseurs à mieux comprendre les problèmes de sécurité.

Une relation forte et collaborative est le point fondamental d'une chaîne d'approvisionnement sécurisée. Collaborez pour créer une confiance entre l'organisation et ses fournisseurs grâce à une communication ouverte, en veillant à ce que les deux parties restent alignées sur les objectifs de sécurité.

Conclusion

Les attaques contre la chaîne d'approvisionnement, en tant que partie du paysage général des menaces, évoluent. Elles deviennent plus sophistiquées et plus difficiles à détecter. Cependant, en tirant des leçons des incidents récents et en adoptant des stratégies proactives, les organisations peuvent minimiser les risques et mieux se protéger à l'avenir.

Le périmètre traditionnel de la cybersécurité ne suffit plus, il faut désormais se concentrer sur la sécurisation de toute la chaîne d'approvisionnement. C'est le seul moyen d'éviter l'abus de la relation de confiance entre une organisation et ses fournisseurs.

En résumé, améliorer la sécurité dans le contexte de la chaîne d'approvisionnement nécessite une vigilance constante et une collaboration proactive. Seule une approche collective et intégrée permettra aux organisations de faire face à la complexité croissante des menaces.

De plus, les organisations ne doivent pas oublier l'importance des cas d'utilisation définis sur mesure au sein de l'infrastructure. Les cas d'utilisation guident les efforts de détection et de réponse, en concentrant l'attention sur les risques les plus critiques pour la chaîne d'approvisionnement. En développant des cas d'utilisation qui reflètent l'environnement spécifique d'une organisation, les équipes du CSOC peuvent minimiser les risques en cas de compromission d'un fournisseur.