Les Dangers de la Supply Chain : Bien Plus que des Failles Logicielles
Les cyberattaques ciblant les chaînes d'approvisionnement, ou « supply chain », sont en plein essor. Okta, MOVEit, Snowflake... Les exemples récents d'entreprises touchées ne manquent pas, avec à chaque fois des conséquences dévastatrices pour leurs clients. Et le pire reste à venir selon les experts, qui prédisent que la moitié des organisations seront victimes de telles attaques d'ici 2025. Pourquoi un tel acharnement des cybercriminels sur la supply chain ? Comment les entreprises peuvent-elles se prémunir face à ce fléau grandissant ? Éclairages.
La supply chain, maillon faible de la cybersécurité
Pour les hackers, attaquer la chaîne d'approvisionnement présente un double avantage. D'une part, c'est souvent moins risqué que de s'en prendre directement à une grosse entreprise bien protégée. D'autre part, en compromettant un seul fournisseur, ils peuvent multiplier les victimes et maximiser leurs gains. C'est pourquoi ils redoublent d'efforts pour exploiter la moindre faille chez les partenaires.
Le défi est d'autant plus grand avec l'adoption massive du cloud. De plus en plus dépendantes de services externes, les entreprises peinent à maintenir une visibilité sur la sécurité de leur supply chain digitale. Selon une étude d'Illumio, 46% des responsables de la sécurité avouent manquer de visibilité sur la connectivité de leurs services cloud. Un angle mort particulièrement préoccupant quand on sait que plus de la moitié des fuites de données sont liées au cloud.
Les nouvelles réglementations européennes
Pour renforcer la cyberrésilience, l'Union Européenne a adopté des réglementations majeures comme le Digital Operational Resilience Act (DORA) et la directive Network and Information Systems 2 (NIS2). L'objectif : responsabiliser davantage les entreprises en matière de sécurité, notamment au niveau de leurs chaînes d'approvisionnement.
La résilience opérationnelle digitale est devenue une priorité absolue, en particulier pour les infrastructures critiques et le secteur financier.
Margrethe Vestager, Vice-Présidente de la Commission Européenne
DORA et NIS2 imposent aux organisations d'identifier leurs actifs et processus critiques, d'évaluer les risques associés y compris au niveau de leurs fournisseurs, et de mettre en œuvre les mesures de protection et de résilience appropriées. L'objectif est d'assurer la continuité des services essentiels, même en cas de cyberattaque massive.
Une approche basée sur les risques
Pour sécuriser efficacement leur supply chain, les entreprises doivent adopter une démarche pragmatique centrée sur les risques les plus critiques. Il s'agit d'identifier, parmi tous les maillons de la chaîne, ceux dont la compromission aurait l'impact le plus grave sur les activités et la réputation. Les efforts de protection pourront ainsi être priorisés.
Cartographier les connexions entrantes et sortantes
Une fois les actifs critiques identifiés, il faut cartographier tous les flux entrants et sortants. Qui a accès à quoi ? Par quel chemin ? Chaque point d'interconnexion avec l'extérieur est une porte d'entrée potentielle pour les attaquants, qu'il s'agisse de logiciels cloud, de sous-traitants, de prestataires de maintenance... Avoir une vue d'ensemble est essentiel pour ne rien laisser au hasard.
Instaurer le Zero Trust
Le modèle du Zero Trust, qui part du principe que personne n'est digne de confiance par défaut, est particulièrement adapté pour sécuriser les échanges avec les tiers. Chaque accès doit être soumis à une authentification forte et un contrôle strict des autorisations, afin d'empêcher toute intrusion ou mouvement latéral non désiré.
De nombreux éléments de DORA et NIS2 s'inscrivent dans cette philosophie du Zero Trust, même si le terme n'est pas explicitement mentionné. En imposant une vérification systématique des accès, ces réglementations contribuent à réduire les risques liés aux interconnexions avec des partenaires externes.
Miser sur la résilience plus que sur la prévention
Si la prévention reste un objectif, force est de constater qu'il est illusoire de vouloir empêcher toutes les attaques. Des compromissions massives comme celle de SolarWinds montrent qu'il est extrêmement difficile d'anticiper certaines menaces sur la supply chain. D'où l'importance de la résilience pour contenir les incidents et en limiter l'impact.
La microsegmentation est une approche particulièrement pertinente dans ce contexte. En divisant le réseau en petites zones sécurisées, elle permet de restreindre les mouvements latéraux des attaquants et de protéger les actifs critiques, même si un fournisseur tiers est compromis. C'est un excellent moyen de renforcer la résilience opérationnelle comme le préconisent DORA et NIS2.
- Identifier les actifs et processus critiques
- Cartographier tous les flux entrants et sortants
- Appliquer le Zero Trust pour les accès tiers
- Miser sur la résilience via la microsegmentation
Vers une supply chain « Zero Trust » ?
À terme, c'est toute la chaîne d'approvisionnement qui devra évoluer vers un modèle sans confiance. Plus question d'accorder une confiance aveugle à un fournisseur sous prétexte qu'il est réputé ou certifié. Chaque maillon devra faire l'objet d'une surveillance et de contrôles continus pour détecter toute compromission le plus tôt possible.
Les entreprises n'ont pas d'autre choix que d'adopter cette approche « Zero Trust » pour leur supply chain. Celles qui tarderont à le faire s'exposeront à des risques croissants pouvant mettre en péril leur activité et leur réputation. À l'inverse, celles qui sauront adapter leur cybersécurité à ces nouveaux enjeux seront les mieux armées pour affronter les défis de demain.
