La cybersécurité a été dramatiquement inefficace face aux cybermenaces de la dernière décennie. Récemment, des attaques au niveau de la chaîne d'approvisionnement d’entreprises ont entièrement ébranlé le secteur de la cybersécurité. Avec le risque de perte des données clients, les entreprises cherchent des moyens efficaces pour se sécuriser.

Chercher le “maillon le plus faible”

Dans la dernière évolution de cette cyberguerre, les hackers s’attaquent à la cible en trouvant un point faible le long de sa “chaîne d’approvisionnement”. Les pirates se concentrent sur les entreprises les moins sécurisées, ayant une activité commerciale avec la cible visée. Ils recueillent ainsi plusieurs données sensibles. Par exemple en piratant un fournisseur de courrier électronique ils pourront espionner tous ses utilisateurs.

Il est impossible d’être totalement protégé contre de telles attaques car il est essentiel de partager les informations avec le “fournisseur” et les pirates le savent.

Dommages au-delà des coûts immédiats

Les attaques au long de cette chaîne d’approvisionnement peuvent être très efficaces pour endommager des entités interconnectées, en raison de la mondialisation et de l’externalisation. Témoin de cette situation, l’attaque de décembre 2020 (SolarWinds) qui a impliqué de nombreuses institutions fédérales américaines, dont l’Administration nationale de la sécurité nucléaire.

La seule façon d’atténuer les dommages est de déconnecter tous les hôtes touchés du domaine et de les reconstruire en utilisant des sources fiables, ce qui entraîne des coûts très élevés.

La détection en temps réel est nécessaire

En 2020, le nombre d’attaques de la chaîne d’approvisionnement a augmenté de plus de 70% par rapport à l’année précédente. Les entreprises de cybersécurité doivent proposer des produits automatisés qui traquent les menaces en temps réel sur l’ensemble du domaine et proposent une stratégie efficace de contrôle des dommages en cas d’échec du confinement.

La transition vers le cloud permet d’y parvenir, et les entreprises offrant des services basés sur le cloud en profiteront le plus.

Les cybercriminels recherchent continuellement des points d’entrée

Il est difficile d’être sûr à 100%, car les menaces peuvent provenir de n’importe quelle source. Lorsque les pirates ne parviennent pas à cibler directement le réseau et les systèmes d’une entreprise, ils peuvent envoyer des codes malveillants par courrier électronique aux employés vulnérables. Sinon, ils chercheront des points d’entrée tout le long de la chaîne d’approvisionnement, augmentant ainsi considérablement l’espace numérique qu’une entreprise doit surveiller et sécuriser.

Par exemple, lors de l’attaque de décembre dernier, les pirates ont d’abord exploité une vulnérabilité à laquelle Microsoft a rapidement remédié, mais ils ont ensuite remonté la chaîne jusqu’à la plateforme SolarWinds et mis tous ses clients en danger.

Des systèmes cyber-résilients

La protection contre les attaques commence par la compréhension des points faibles du réseau et la construction d’un système cyber-résistant, c’est-à-dire avec une capacité de s’adapter rapidement, de contenir, de redémarrer et de se réparer en cas d’attaque. Une protection efficace doit être associée à des processus de récupération rapide pour qu’une offre se démarque.

Lorsque l’attaque de SolarWinds s’est produite, la plupart de ses clients ont dû cesser complètement de fonctionner pendant des heures et des jours, pour reconstruire leurs systèmes.

Réduire le risque “facteur humain” est essentiel

Quelle que soit la sophistication des mesures de sécurité, le facteur humain reste le plus grand risque, qu’il est impossible de réduire à zéro.

Les entreprises doivent limiter leur base de fournisseurs pour assurer des contrôles plus stricts. La mise en place de formations et d’audits spéciaux en matière de cybersécurité chez les fournisseurs permettra de s’assurer que tous les acteurs connaissent et appliquent les dernières recommandations en matière de cybersécurité.

Des attaques très dommageables et de grande envergure

La chaîne d’approvisionnement n’est que la première étape

Souvent, ce n’est pas un seul acteur qui est visé par la chaîne d’approvisionnement, mais l’ensemble du réseau. Les pirates ont adopté une stratégie militaire américaine, le “Island Hopping”, et visent à capturer autant de “cyber-espace” que possible.

Employée par l’armée américaine pendant la Seconde Guerre mondiale, cette stratégie consistait à capturer des îles distinctes pour se rendre au Japon continental, par exemple Hawaii, Marshall, Guam. Dans le cyberespace, déçus par les données d’une victime, les attaquants peuvent décider de continuer à se répandre, en utilisant la première victime comme base d’opérations.

Les attaques de cette chaîne d’approvisionnement permettent d’échapper à la détection

En s’infiltrant via un autre point final et en passant par le réseau d’un partenaire de confiance, les pirates de la chaîne d’approvisionnement peuvent rester dans un système pendant des mois. La relative facilité à se propager dans le réseau et à “sauter des îles” en fait une stratégie criminelle attrayante. A noter que les informations de santé personnelles sont le type de données le plus recherché.

Le taux de réussite élevé de ces attaques est la principale raison pour laquelle plus de 80% des entreprises constatent une augmentation des attaques de leur chaîne d’approvisionnement chaque année.

Des conséquences dramatiques qui poussent des investissements plus importants dans la cybersécurité

Pour se propager, les agresseurs s’appuient sur la marque et la confiance que les partenaires manifestent à l’égard de l’entité ciblée. Les attaques réussies détruisent à la fois la marque et la confiance qui ont été entretenues pendant des années.

Il est évident que les entreprises doivent protéger ces précieux actifs non tangibles en augmentant leurs dépenses en matière de solutions de cybersécurité mais aussi en limitant leur base de fournisseurs afin de garantir des contrôles plus stricts.

La détection et l’anticipation sont nécessaires

La meilleure façon de protéger est d’anticiper

Si le réseau est exposé, l’entité peut contenir la menace en disposant d’un plan de réponse aux incidents et d’une équipe bien rodée. L’outil adéquat est celui qui offre un niveau de visibilité maximal à travers le réseau jusqu’à chaque point d’extrémité.

Les équipes doivent maintenir un instantané quotidien de l’écosystème et s’entraîner à repérer les problèmes et à se familiariser avec l’ensemble du réseau.

Des améliorations de l’algorithme de détection sont nécessaires

Les cyber systèmes actuels vérifient le trafic en fonction d’une base de données de logiciels malveillants et de régions géographiques tout en détectant les paramètres inhabituels. Cependant, pour détecter les attaques au niveau de la chaîne d’approvisionnement, les systèmes doivent utiliser une analyse du comportement en temps réel pour détecter toute déviation anormale.

Les entreprises de cybersécurité doivent offrir des capacités d’intelligence artificielle en temps réel, en tirant parti de leur capacité et de leur rapidité pour détecter les comportements indésirables et gagner des clients. C’est dans ce domaine que les acteurs investissent massivement.

Le cloud facilite l’observabilité et le contrôle en temps réel

Le principal avantage du cloud est la visibilité en temps réel et la facilité d’observation. Les entreprises de sécurité analysent l’ensemble de l’écosystème, cartographient tous les acteurs, quantifient les risques et proposent un moyen de les contenir. Un avantage majeur est que toute évolution du système se fait dans une plateforme unifiée dans lequel tous les acteurs suivent le même ensemble de règles.

Catalyseurs

Attaques régulières de la chaîne d’approvisionnement. Les attaques constantes de la chaîne d’approvisionnement continueront à stimuler le secteur de la cybersécurité et les dépenses en faveur de nouvelles solutions.

“Cloudification”. Le cloud, que le monde commence à adopter, offre une cybersécurité plus efficace avec une observabilité et une réponse en temps réel.

L’instabilité politique. Les tensions politiques et le passage d’une guerre “armée” à une guerre “cyber” entraîneraient une augmentation des cyberattaques et des investissements dans le cyberespace.

Risques

Des attaques similaires à celles de SolarWinds. La récente attaque a exposé plus de 18 000 clients et a réduit la valeur de l’entreprise de cybersécurité de plus de 30%.

L’intelligence artificielle contourne les mesures de sécurité. L’IA malveillante peut être combinée avec une attaque de la chaîne d’approvisionnement pour masquer le piratage en temps réel des systèmes de cybersécurité.

Une vulnérabilité plus récente et introuvable. Déjà difficiles à détecter, les attaques injectées via des vulnérabilités “invisibles” peuvent rester dans le système pendant des années.