De RSA à SolarWinds : leçons tirées d'une décennie de violations de la chaîne d'approvisionnement

De RSA à SolarWinds : leçons tirées d’une décennie de violations de la chaîne d’approvisionnement

Par Dan Raywood • 1 Août 2024

Au cours de la dernière décennie, les attaques contre la chaîne d’approvisionnement sont devenues l’une des principales causes de violations. Les connexions à un réseau entraînent des vulnérabilités exploitables et un risque accru d’incidents de sécurité. Dan Raywood examine pourquoi la chaîne d'approvisionnement reste un problème si difficile pour les organisations et propose quelques solutions.

Comprendre le défi

Les réalités des attaques contre la chaîne d’approvisionnement sont évidentes : depuis le attaque contre RSA en 2011, où il y avait une intention d'entrer dans Lockheed Martin, à l'incident dix ans après, où les acteurs malveillants ont exploité des logiciels ou des informations d'identification d'au moins trois sociétés – notamment le logiciel Orion de Solarwinds – pour s'en prendre au gouvernement américain.

Ce que nous savons des attaques de la chaîne d’approvisionnement est probablement un chemin très fréquenté : les attaquants exploitent une vulnérabilité dans une entité pour se frayer un chemin vers une autre entreprise, souvent plus grande, afin de réaliser une brèche, de demeurer dans un environnement ou quelque chose de néfaste.

Une attaque contre la chaîne d’approvisionnement semble incroyablement difficile à prévenir car elle implique une chaîne d’événements, et un défenseur devra prendre de sérieuses précautions pour savoir qui est connecté à lui et quels incidents il a vécus.

Reconnaître le risque

Recherche récente de BlackBerry constaté que 74 % des attaques provenaient de membres de la chaîne d’approvisionnement logicielle dont les entreprises ignoraient l’existence ou ne surveillaient pas avant la violation.

Comment pouvez-vous être sûr que les entités qui se connectent à votre entreprise sont sécurisées et adhèrent au même niveau de conformité que votre entreprise ? Richard Starnes, RSSI de Six Degrees Group, affirme que cela est possible si vous utilisez un contrat de transfert, qui oblige toute entreprise avec laquelle vous travaillez à suivre votre exemple et peut s'étendre à d'autres fournisseurs.

"Vous avez une exigence pour un client qui décrit les spécifications qui doivent être respectées, et s'il ne peut pas répondre à ces spécifications, alors je ne peux pas les utiliser", explique Starnes.

Renforcer le maillon le plus faible

Starnes affirme que l'un des principaux problèmes permettant les attaques sur la chaîne d'approvisionnement est l'implication des petites et moyennes entreprises, car les grandes entreprises ont été plus complexes à pénétrer et le temps d'arrêt n'est plus ce qu'il était – Mandiant 2024 Rapport M Tendances a noté que le temps de séjour était passé de 16 jours à dix de 2022 à 2023.

Ian Thornton-Trump, RSSI de Cyjax, affirme que les leçons tirées des attaques contre la chaîne d'approvisionnement montrent qu'il faut mieux comprendre les conséquences des failles de sécurité de vos clients et fournisseurs. Ce que vous pouvez faire, c'est les surveiller, ainsi que leur posture de sécurité et leurs exigences de conformité en matière de sécurité, et lorsqu'ils subissent une faille de sécurité, ils vous en informent en premier », dit-il.

"Il ne s'agit pas d'une relation conflictuelle, car vous n'essayez pas de les surprendre, mais cela vous donne l'opportunité d'apporter des modifications plutôt que d'adopter une posture défensive."

Cela nous amène à la question de la découverte des problèmes de sécurité via les médias plutôt que d'être informé directement par la victime, ce qui vous permet de réagir et de surveiller les incidents.

Construire un écosystème basé sur la confiance

L'étude Blackberry a révélé que 65 % des entreprises informent leurs clients des incidents, et 51 % d'entre elles s'inquiètent de l'impact négatif sur leur réputation.

Thornton-Trump affirme que la seule façon de « faire confiance mais vérifier » est d'assurer la transparence de toutes les parties, ce qui vous permet de vous préparer au cas où une violation se produirait et de savoir comment réagir.

Étapes correctes

Quelles sont les étapes appropriées pour vous assurer de trouver toutes les failles par lesquelles un attaquant pourrait vous atteindre, y compris les entreprises professionnelles, et potentiellement même conformes ? Orientations du Centre national de cybersécurité du Royaume-Uni sur la sécurité de la chaîne d'approvisionnement recommande une série de principes, notamment savoir qui sont vos fournisseurs, comprendre à quoi ressemble leur sécurité et élaborer un plan d'action.

Ces recommandations nécessitent également de s'appuyer fortement sur les dispositions de sécurité de vos fournisseurs. Cela peut impliquer d'exiger « des fournisseurs potentiels qu'ils fournissent la preuve de leur approche en matière de sécurité et de leur capacité à répondre aux exigences minimales de sécurité que vous avez fixées à différentes étapes de l'appel d'offres » et d'expliquer la justification de ces exigences à vos fournisseurs afin qu'ils comprennent ce que signifient ces exigences. est requis.

Tirer parti des cadres et des normes établis

Le maintien de la conformité à la norme ISO 27001 peut contribuer à garantir que vos fournisseurs sont au même niveau que vous. Cela peut vous permettre de mieux contrôler vos fournisseurs et d'insister sur leur niveau de conformité sans nécessiter de liste de contrôle ou de questionnaire.

Les prestataires de services tiers doivent mettre en œuvre des mesures de sécurité appropriées qui sont régulièrement surveillées et examinées lorsqu'ils travaillent avec des entreprises utilisant la norme ISO 27001.

standard comme garde-fou pour la gestion des fournisseurs. Sam Peters, CPO d'ISMS.online explique : « cela permet aux organisations d'identifier, d'évaluer et de traiter les risques de sécurité liés aux fournisseurs externes et permet aux entreprises de définir des critères de sécurité prédéfinis et de mener des évaluations périodiques, garantissant ainsi une conformité et une sécurité continues. »

La norme ISO 27001 exige également que les entreprises conservent des enregistrements complets de toutes les interactions avec des tiers, y compris les évaluations des risques, les exigences de sécurité stipulées dans les contrats et la surveillance continue des performances.

En fin de compte, affirme Peters, « la norme ISO 27001 pose les bases de processus rigoureux de vérification des partenaires et des fournisseurs, d’accords de partenariat solides et d’une culture d’amélioration continue, vous offrant ainsi un niveau de réglementation en matière de sécurité qui devrait vous donner une confiance supplémentaire. »

Troisième et quatrième connexions

Une autre considération concerne le flux ultérieur vers les connexions tierces et quatrièmes. Recherche publiée plus tôt cette année, Security Scorecard a révélé que 97 % des entreprises au Royaume-Uni ont une entité piratée dans leur écosystème tiers.

Starnes a déclaré que de nombreuses entreprises hiérarchisent leurs fournisseurs et disposent d'une description du fournisseur qui dicte la conformité réglementaire qu'elles imposent à cette entité.

« Pour un fournisseur de premier niveau, vous utiliseriez un questionnaire administré chaque année, tandis que pour un fournisseur de niveau deux, vous auriez un questionnaire moins approfondi tous les deux ans.

« Pour un fournisseur de niveau trois, vous disposez d'un autre questionnaire et d'une notification en cas de changement important ou d'incident, et c'est le nombre d'entre eux qui sont gérés. »

Surmonter les défis en matière de ressources

Même si la gestion de la sécurité de la chaîne d’approvisionnement peut nécessiter beaucoup de ressources, cet effort porte ses fruits à long terme. Malgré le temps consacré, l'organisation et l'audit de votre chaîne d'approvisionnement sont essentiels pour maintenir un réseau sécurisé. L'automatisation de certaines parties de ce processus et l'exploitation des normes de conformité peuvent rationaliser les efforts et réduire la charge des équipes de sécurité.

Une voie à suivre

En adoptant une approche « faire confiance mais vérifier » et en favorisant la transparence, les entreprises peuvent renforcer leurs chaînes d'approvisionnement contre les menaces potentielles. Une surveillance continue, une communication claire et le respect des normes de conformité sont essentiels pour créer une chaîne d'approvisionnement résiliente et sécurisée. Même si le défi est important, des stratégies proactives et positives, notamment l’adoption d’un SMSI, peuvent faire une différence substantielle dans la protection contre les attaques de la chaîne d’approvisionnement.

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 29 mai 2025

Le cadre de cybersécurité et de confidentialité du NIST fait peau neuve

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée pour en faire une offre plus organique et moins statique. Cela profite-t-il aux praticiens ?

Dan Raywood

La cyber-sécurité 21 Janvier 2025

vulnérabilités zero day : comment se préparer à la bannière inattendue

Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées comme des failles zero-day. Face à un contexte aussi imprévisible…

Dan Raywood