Une récente violation de données chez Qantas, compromettant les informations personnelles de 5.7 millions de clients, a mis en évidence le risque de cybersécurité permanent que représentent les prestataires de services tiers pour les entreprises. L'incident, survenu en juin, a exposé des données telles que les noms, dates de naissance, numéros de téléphone, adresses e-mail et informations des comptes de fidélité Qantas Frequent Flyer des clients. Les informations financières, les passeports et les mots de passe n'ont toutefois pas été affectés.
Mais plutôt que de pénétrer dans les systèmes informatiques internes de la compagnie aérienne australienne, les auteurs de la faille ont volé ces informations en faisant croire à un centre de contact offshore tiers qu'il s'agissait d'employés de Qantas souhaitant réinitialiser leurs informations d'authentification multifacteur. Après la modification de ces informations de sécurité cruciales, les pirates ont obtenu un accès non autorisé à une plateforme cloud externalisée contenant les bases de données clients de Qantas.
On pense que le groupe de cybercriminels Scattered Spider, dont les pirates sont répartis aux États-Unis et au Royaume-Uni, est à l'origine du piratage. Le FBI a depuis averti que le groupe lance de plus en plus d'attaques d'ingénierie sociale contre les compagnies aériennes mondiales. Cette information intervient alors que des recherches menées par l'assureur cyber Cowbell montrent que les attaques visant la chaîne d'approvisionnement logicielle ont increased de 431 % au cours des quatre dernières années. Dans ce contexte, que peuvent faire les entreprises pour sécuriser leurs chaînes d'approvisionnement et prévenir des incidents comme celui de Qantas ?
Leçons importantes à apprendre
L'un des principaux enseignements de la cyberattaque de Qantas est que, même si l'authentification multifacteur est conçue pour constituer une couche de sécurité supplémentaire, compliquant le piratage des comptes par les cybercriminels, elle n'est pas totalement impénétrable. C'est ce qu'affirme Jake Moore, conseiller mondial en cybersécurité chez ESET, fabricant d'antivirus, qui affirme que des humains malveillants sont capables de pirater « même les meilleures défenses ».
Une deuxième leçon de Moore est que les entreprises doivent comprendre que leurs chaînes d’approvisionnement présentent des « faiblesses inévitables » qui sont faciles à exploiter pour les pirates informatiques, comme le simple fait de se faire passer pour de véritables employés, et qui peuvent « détruire beaucoup de choses sur leur passage ».
Ce sentiment est partagé par Vijay Dilwale, consultant principal chez Black Duck, fournisseur de logiciels de sécurité applicative. Il affirme que même si les entreprises disposent de solides protections informatiques, celles-ci sont inefficaces si les fournisseurs sur lesquels elles s'appuient n'accordent pas la même attention à la cybersécurité. Il explique à ISMS.online : « Les systèmes centraux de Qantas n'ont pas été compromis, mais des millions de données ont tout de même atterri entre de mauvaises mains en raison d'une faille chez un tiers. »
Selon Dilwale, une telle violation de données personnelles peut avoir de « graves » conséquences pour les entreprises. Parmi celles-ci, on compte une perte de confiance des clients, des amendes réglementaires et des articles de presse accusant à la fois l'entreprise et le fournisseur, même si le premier n'est pas en faute. Il ajoute : « Dans le monde numérique actuel, le périmètre traditionnel n'existe plus vraiment. Chaque fournisseur, chaque sous-traitant, chaque plateforme SaaS fait partie de votre surface d'attaque. »
Conséquences en matière de conformité
Étant donné que les protections renforcées en matière de cybersécurité, telles que l'authentification multifacteur (MFA), ne suffisent pas à elles seules à protéger les organisations contre les fuites de données dévastatrices alors que les attaques contre la chaîne d'approvisionnement continuent de croître, les organisations doivent clairement faire davantage.
Pour Dilwale de Black Duck, cela signifie considérer l'évaluation des risques fournisseurs comme un exercice continu plutôt qu'une simple case à cocher lors de l'intégration de nouveaux fournisseurs. Outre une vérification rigoureuse des prestataires de services tiers, il explique que les organisations doivent surveiller en permanence les cyberrisques posés par les fournisseurs et stipuler dans leurs contrats officiels qu'ils prennent la cybersécurité au sérieux. Dans ces contrats, les organisations devraient obtenir des fournisseurs qu'ils acceptent des audits de cybersécurité et des notifications d'incidents.
Mais ces efforts ne se limitent pas à la protection de la réputation : ils constituent également une obligation réglementaire. Dilwale explique qu'en Australie, les principes australiens de protection de la vie privée obligent les entreprises à signaler tout type de cyberattaque. Parallèlement, des normes sectorielles telles que la norme ISO 27001 soulignent l'importance de la gestion des risques liés à la chaîne d'approvisionnement. Il ajoute : « Le message est clair : la surveillance de vos fournisseurs n'est plus facultative. »
Lorsqu'il s'agit de gérer ces risques, Dilwale recommande aux organisations d'adopter un système de gestion de la sécurité de l'information (SMSI), car il leur permettra de surveiller et d'identifier les vulnérabilités de la chaîne d'approvisionnement à chaque étape d'une relation avec un fournisseur, de l'intégration à la sortie.
« Vous pouvez vous assurer que les audits ne sont pas seulement planifiés, mais qu'ils sont effectivement suivis de mesures correctives. Vous pouvez dresser un panorama complet de votre chaîne d'approvisionnement étendue, afin de ne pas manquer ces connexions tierces », explique-t-il. « Et vous pouvez inclure vos fournisseurs dans vos exercices de réponse aux incidents afin que, en cas de problème, vous sachiez déjà comment réagir ensemble. »
En plus d'utiliser un SMSI, Michael Tigges, analyste principal des opérations de sécurité chez Enterprise Cybersecurity Platform Chasseresse, exhorte les organisations à développer des cadres dédiés utilisant des normes telles que ISO 27001, à surveiller et à auditer régulièrement leurs fournisseurs dans le cadre d'accords de niveau de service « clairs », à être transparentes sur le mouvement des données et à investir dans des systèmes de détection et de réponse.
Autres étapes
Selon Tigges de Huntress, les contrôles de santé des fournisseurs constituent une autre étape cruciale pour éliminer les risques liés à la sécurité de la chaîne d'approvisionnement. Ils doivent couvrir des domaines tels que les contrôles d'accès adéquats, l'authentification multifacteur, les journaux d'incidents et les simulations d'incidents.
Dans le cadre de ces efforts, il encourage les entreprises à réaliser des exercices de cybersécurité sur table, au cours desquels elles subissent une cyberattaque réaliste et évaluent la réaction de leurs équipes, afin d'identifier et de combler les failles de sécurité. Des fournisseurs tiers peuvent également y participer.
Tigges souligne également l'importance d'une gestion efficace des parties prenantes. Il explique à ISMS.online : « Commencez par des discussions réalistes : quels sont nos objectifs, quels risques pouvons-nous tolérer et comment pouvons-nous renforcer nos défenses par d'autres moyens pour atténuer ces risques ? »
Ross Brewer, vice-président EMEA de Graylog, société de gestion des journaux et d'analyse de sécurité, convient que les organisations doivent intégrer les risques liés à la chaîne d'approvisionnement dans leurs exercices de cybersécurité. Cela leur permettra de tester les procédures de détection, d'escalade et de réponse au sein de leur organisation.
Regard vers l'avenir
Alors que les cyberattaques visant la chaîne d'approvisionnement ne montrent aucun signe de ralentissement, Moore d'ESET estime que les organisations n'auront d'autre choix que de faire des évaluations de sécurité des fournisseurs un élément essentiel de leur gouvernance à l'avenir. Cela implique de traiter les fournisseurs tiers « comme une extension de l'organisation », avec la même responsabilité, afin d'assurer leur survie dans un environnement réglementaire en constante évolution.
Étant donné que de nombreuses entreprises externalisent désormais certaines parties de leur organisation auprès de fournisseurs tiers, Dilwale de Black Duck affirme qu'elles doivent accorder la même importance à la sécurité de leurs fournisseurs qu'à la leur. Il poursuit : « La sécurité de la chaîne d'approvisionnement ne peut pas être ajoutée après coup ; elle doit être intégrée à la gouvernance, car la responsabilité et la conformité sont des exigences fondamentales de l'entreprise. »
À long terme, Tigges de Hunttress affirme que les entreprises et leurs fournisseurs devront faire preuve de transparence et de cohésion dans leurs pratiques de cybersécurité et de gestion des données, compte tenu de la sensibilité des informations partagées. Il conclut : « La réputation de l’organisation et les données individuelles sont en jeu, et toutes les personnes qui manipulent ces données sont parties prenantes de ce processus. »
Bien que la cyberattaque de Qantas ne soit pas due à une négligence en matière de cybersécurité de la part de la compagnie aérienne australienne, l'incident aurait pu être évité si la compagnie avait mis en place des pratiques plus strictes en matière de sécurité de la chaîne d'approvisionnement. Pour les autres organisations, cet enseignement est précieux : la sécurité de vos fournisseurs est tout aussi importante que la vôtre. Ce principe doit être renforcé par des contrats fournisseurs complets, des contrôles réguliers de la chaîne d'approvisionnement et des exercices de cybersécurité prenant en compte les risques liés à la sécurité de la chaîne d'approvisionnement.
