Zpedia 

/ Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?

Une attaque de la chaîne d’approvisionnement est un type de cyberattaque menée contre les fournisseurs d’une entreprise afin d’obtenir un accès non autorisé aux systèmes ou aux données de cette dernière. Parfois appelées attaques de chaîne de valeur ou de logiciels tiers, elles impliquent une planification importante de la part des hackers qui utilisent du code malveillant pour infiltrer les systèmes d’une entreprise, et elles peuvent avoir un rayon d’action dévastateur après la compromission initiale, comme dans le cas des attaques de SolarWinds en 2020.

Découvrez notre solution de sécurité de la chaîne d’approvisionnement SaaS intégrée, unique dans le secteur
Protection contre les menaces en ligneProtection des données
  1. Exemples d’attaques
  2. Impact
  3. Cycle de vie du développement logiciel
  4. Bonnes pratiques de protection
  5. Pourquoi Zscaler ?
  6. Autres thèmes similaires

Exemples d’attaques de la chaîne d’approvisionnement

Il existe deux grands types d’attaques de la chaîne d’approvisionnement qui se concentrent sur le cycle d’approvisionnement ou de valeur d’une entreprise.

Attaques par « island hopping »

Les attaques par « island hopping » sont le fait de cybercriminels qui infiltrent de grandes sociétés en ciblant des entreprises plus petites, ou dont les contrôles de sécurité sont probablement moins sophistiqués, qui font partie de la chaîne de valeur de la grande société. Comme le nom l’indique, les hackers « sautent » (ou « hop » en anglais) d’une entreprise à l’autre pour se rapprocher de leur cible principale.

Les attaques par « island hopping » visent généralement des entreprises de premier plan qui s’appuient sur un vaste écosystème numérique de fournisseurs. Il peut s’agir de fournisseurs de services gérés, de fournisseurs de matériel et de logiciels, ainsi que de partenaires technologiques et commerciaux, dont beaucoup sont connectés à diverses applications et bases de données par l’intermédiaire d’une pléthore de terminaux vulnérables.

Attaques de la chaîne d’approvisionnement

Les attaques de la chaîne d’approvisionnement, telles que la cyberattaque de SolarWinds, sont légèrement différentes. Au lieu de rechercher les vulnérabilités d’un partenaire pour accéder au réseau d’une autre entreprise, elles visent explicitement à exploiter la confiance entre des entreprises légitimes dans le cadre d’opérations commerciales normales.

Comment fonctionne une attaque de la chaîne d’approvisionnement

Les attaques de la chaîne d’approvisionnement cherchent à s’introduire en implantant une porte dérobée dans les produits, généralement des logiciels, que les entreprises ciblées utilisent. Cela permet aux hackers de diffuser des correctifs automatiques ou des mises à jour logicielles contenant un cheval de Troie qui ouvrent la porte à des malwares et autres attaques.

Les attaques de la chaîne d’approvisionnement et par « island hopping » ont été à l’origine de violations très médiatisées et coûteuses, mais les entreprises intermédiaires peuvent également subir de graves atteintes à leur réputation et à leur activité, même si elles ne sont pas les cibles réelles de ces campagnes.

Impact des attaques de la chaîne d’approvisionnement

Lors de l’attaque SolarWinds Orion en 2020, un hacker a pu accéder aux systèmes de SolarWinds via une porte dérobée et créer des mises à jour contenant un cheval de Troie pour la plateforme SolarWinds Orion. La mise à jour contenant un cheval de Troie d’Orion a permis aux hackers de déployer des malwares furtifs sur les réseaux de 18 000 clients de SolarWinds, parmi lesquels de nombreuses agences et organisations gouvernementales américaines, notamment le Pentagone, le Département de la Sécurité intérieure, le FBI, l’armée, la marine et bien d’autres.

La porte dérobée a été diffusée via une mise à jour logicielle légitime d’un outil de surveillance et de gestion connu (et de confiance). Après l’installation de la porte dérobée, le hacker a pris des mesures pour éviter d’être détecté dans le sandbox, notamment en attendant plusieurs jours avant tout rappel de son système de commande et de contrôle (C2).

Pourquoi sont-elles si dangereuses ?

Les chercheurs en sécurité affirment que les attaques de la chaîne d’approvisionnement comptent parmi les menaces les plus difficiles à prévenir, car elles exploitent une confiance inhérente. Qui plus est, elles sont difficiles à détecter et peuvent avoir des effets résiduels plus durables. Atténuer les effets d’une attaque de la chaîne d’approvisionnement et y remédier n’est pas aussi simple que d’installer un antivirus ou de réinitialiser votre système d’exploitation. Ces attaques ciblent vos processus, c’est pourquoi ceux-ci doivent être solides dès le départ.

Quote

Les [attaques contre la chaîne d’approvisionnement] figurent parmi les types de menaces les plus difficiles à prévenir, car elles exploitent les relations de confiance entre les fournisseurs et les clients, ainsi que les canaux de communication de machine à machine, tels que les mécanismes de mise à jour logicielle, qui sont par nature dignes de confiance pour les utilisateurs.

Lucian Constantin, CSO Online

Attaque SolarWinds expliquée : et pourquoi elle a été si difficile à détecter

Pourquoi le cycle de vie du développement logiciel est important

Les vulnérabilités de la chaîne d’approvisionnement logicielle commencent dès le développement de la chaîne elle-même. Il est important de remédier aux risques potentiels de cybersécurité qui se présentent au cours du processus de développement afin de réduire au minimum les incidents liés à la sécurité de la chaîne d’approvisionnement.

Voyons comment le développement de logiciels peut créer des vecteurs d’attaque vulnérables lorsqu’il n’est pas correctement sécurisé.

Que sont les secrets ?

Dans le cadre du développement de logiciels, les secrets sont des moyens d’authentification (jetons, clés de chiffrement, mots de passe, API, etc.) qui permettent d’accéder à des informations sensibles entre utilisateurs et applications. Très souvent, les hackers et les groupes de ransomware tels que NotPetya parcourent le code source d’une entreprise pour y découvrir des vulnérabilités qu’ils exploiteront ultérieurement.

Risques de l’Open Source

Malgré leur omniprésence, les logiciels Open Source (OSS) exposent souvent une entreprise à des risques d’attaque. Les OSS, bien qu’efficaces pour le développement de logiciels, augmentent la surface d’attaque et laissent la porte ouverte aux violations de données et aux malwares, deux des menaces les plus fréquentes dans les attaques de la chaîne d’approvisionnement logicielle.

Quote

Les compromissions de la chaîne d’approvisionnement vont se poursuivre. Il est extrêmement difficile de s’en protéger, ce qui souligne la nécessité de prendre en compte la sécurité lors de la sélection des fournisseurs.

Jake Williams, Institut SANS

Ce que vous devez savoir sur l’attaque de la chaîne d’approvisionnement de SolarWinds

L’attaque de SolarWinds met-elle en évidence les risques liés à la chaîne d’approvisionnement ?

L’attaque de SolarWinds démontre aux entreprises qu’elles doivent rester en permanence sur leurs gardes à l’égard de leurs chaînes d’approvisionnement. Elle met en évidence les vulnérabilités particulières de la fabrication d’une chaîne d’approvisionnement logicielle et la manière dont elles peuvent représenter un risque pour des sociétés très connues et très protégées telles que Cisco, Intel et Microsoft. Elle démontre également aux responsables de la sécurité informatique qu’une fois qu’un acteur malveillant a infiltré une partie de la chaîne, il l’a infiltrée dans son ensemble.

Pour vous aider à protéger votre entreprise contre ces dangereuses menaces, nous avons dressé, dans la section suivante, une liste des bonnes pratiques qui, utilisées à bon escient, protégeront votre entreprise contre ces groupes et ces menaces.

 

Meilleures pratiques pour protéger votre entreprise

Les attaques contre la chaîne d’approvisionnement ne cessent d’évoluer et il ne fait aucun doute que les hackers trouveront de nouveaux moyens de compromettre les opérations et les données sensibles des organismes publics et des sociétés privées. Pour réduire autant que possible les risques, Zscaler recommande de prendre les mesures suivantes :

  • Éliminez votre surface d’attaque sur Internet, arrêtez les déplacements latéraux, minimisez les autorisations et bloquez les activités C2 avec une architecture Zero Trust.
  • Activez l’inspection TLS/SSL complète et la prévention des menaces avancées sur le trafic de la charge de travail vers Internet.
  • Exécutez un sandbox cloud inline pour identifier et arrêter les menaces inconnues.
  • Mettez en place des protections pour le trafic C2 connu avec des mises à jour continues au fur et à mesure que de nouvelles destinations se présentent.
  • Exigez une authentification multifacteur pour tout accès à des cibles de grande valeur.
  • Limitez l’impact des déplacements latéraux avec une microsegmentation basée sur l’identité pour les charges de travail du cloud.
  • Choisissez des fournisseurs qui peuvent garantir les niveaux les plus élevés de confidentialité, d’intégrité et de disponibilité.
  • Effectuez des évaluations continues des risques et accordez la priorité à la gestion des risques pour garantir que votre entreprise bénéficie de la meilleure protection possible.
  • Organisez fréquemment des formations de sensibilisation à la cybersécurité avec les bonnes pratiques pour veiller à ce que vos employés connaissent les éléments à surveiller (e-mails de phishing, etc.)
  • Mettez en œuvre un cadre de réponse aux incidents approprié en cas de détection d’une attaque sur votre réseau.

Pour appliquer ces bonnes pratiques de sécurité de la chaîne d’approvisionnement, vous devez recruter les services d’un grand nom de la cybersécurité, disposant d’une plateforme qui inspecte le trafic inline, éliminant la menace d’attaques de malwares et de ransomwares dommageables avant qu’ils ne s’infiltrent dans votre entreprise. Ce grand nom est Zscaler.

Se protéger contre les attaques de la chaîne d’approvisionnement

Les attaques de la chaîne d’approvisionnement sont sophistiquées et difficiles à détecter. En plus de comprendre la posture de sécurité de toutes les entreprises partenaires, il est important de disposer de plusieurs couches de protection et d’une visibilité sur l’ensemble du trafic de votre entreprise. Voici quelques-uns des services intégrés qu’offre Zscaler Zero Trust Exchange™ qui protègent contre les attaques de la chaîne d’approvisionnement en vous permettant de :

  1. Identifier et arrêter les activités malveillantes des serveurs compromis en acheminant tout le trafic du serveur via Zscaler Internet Access
  2. Limiter le trafic depuis les infrastructures critiques à une liste « autorisée » de destinations connues
  3. Garantir que vous inspectez tout le trafic SSL/TLS, même s’il provient de sources fiables
  4. Activer Advanced Threat Protection pour bloquer tous les domaines C2 connus
  5. Étendre la protection de commande et de contrôle à tous les ports et protocoles avec Advanced Cloud Firewall (module Cloud IPS), y compris les destinations C2 émergentes
  6. Utiliser Advanced Cloud Sandbox pour empêcher la diffusion de malwares inconnus dans le cadre d’un payload de deuxième étape
  7. Limiter l’impact d’une compromission potentielle en limitant les déplacements latéraux grâce à une microsegmentation basée sur l’identité (Zscaler Workload Segmentation) et une architecture Zero Trust
  8. Protéger les applications critiques en limitant les déplacements latéraux avec Zscaler Private Access

Voici quelques prochaines étapes que vous pourriez considérer :

  1. Visionnez cette vidéo pour en savoir plus sur Zscaler Zero Trust Exchange.
  2. Découvrez comment protéger vos applications de la création à l’exécution avec Posture Control.
  3. Visitez cette page pour comprendre ce qu’il convient de faire en cas de cyberattaque de type SolarWinds.