Les affirmations du groupe de ransomware Everest selon lesquelles il aurait piraté Atlas Air et son fournisseur Tsunami Tsolutions montrent comment les attaques modernes de ransomware exploitent la complexité de la chaîne d'approvisionnement pour créer des risques, même lorsque les intrusions ne sont pas confirmées.
Par Kate O'Flaherty
En février, le groupe de ransomware Everest prétend avoir siphonné 1.2 To de données appartenant à la compagnie aérienne cargo Atlas Air. Les affirmations publiées sur un forum du dark web par le groupe de ransomware étaient étayées par des captures d'écran des informations prétendument volées, notamment des données techniques d'avions Boeing.
Quelques jours plus tard, les pirates ont affirmé avoir également compromis Tsunami Tsolutions, fournisseur américain de solutions d'ingénierie aérospatiale et d'information, en faisant référence à un ensemble de données plus restreint dans ce qui semblait être une attaque coordonnée contre la chaîne d'approvisionnement.
Atlas Air a nié la violation et Tsunami Solutions n'a pas répondu aux affirmations d'Everest, mais ces incidents montrent comment les attaques modernes par rançongiciel exploitent les failles de sécurité. complexité de la chaîne d'approvisionnement et l'ambiguïté pour créer des risques, même lorsque les violations ne sont pas confirmées.
Comment les organisations peuvent-elles renforcer leur résilience et leur capacité de défense face à des scénarios de menaces incertains et évolutifs qui échappent à leur contrôle direct ?
Problèmes de capture d'écran
Everest affirmait détenir des preuves de la brèche chez Atlas Air, mais les documents produits auraient facilement pu être falsifiés. Plutôt que de libération Au lieu de fournir des échantillons de données complets, le groupe a publié des captures d'écran de ce qu'il décrivait comme des documents de maintenance et de réparation, des registres logistiques et des catalogues de pièces détachées. « Selon Sergiu Zaharia, PhD, RSSI chez Pentest-Tools.com, les affirmations basées uniquement sur des captures d'écran restent volontairement ambiguës. Mais c'est justement cette ambiguïté qui est recherchée », explique-t-il. IO« Everest n’a pas besoin de prouver la violation de manière définitive pour exercer des pressions. Il lui suffit de semer suffisamment de doutes pour que le risque, tant en termes de réputation que de contrat, lié à l’inaction soit supérieur au coût d’une intervention. C’est une technique d’extorsion bien rodée. »
Les chercheurs ont relevé des anomalies dans les captures d'écran, notamment une référence à Malaysia Airlines Cela ne semblait pas avoir de lien direct avec Atlas Air. Lorsque Everest a revendiqué l'attaque contre Tsunami Tsolutions par la suite, les captures d'écran ont révélé des informations similaires.
Cela soulève des questions légitimes quant à l'origine des données : proviennent-elles des systèmes d'Atlas Air ou d'un fournisseur ? Elles pourraient même provenir d'une plateforme partagée, ou « d'une source sans lien avec l'affaire, que le groupe a regroupée dans une seule réclamation pour un maximum d'influence », suggère Zaharia.
La question de la crédibilité est donc moins binaire qu'il n'y paraît, explique Zaharia. « Les captures d'écran ne prouvent peut-être pas une intrusion dans les systèmes centraux d'Atlas Air. Mais elles prouvent presque certainement que quelqu'un, quelque part dans la chaîne d'approvisionnement, avait accès à des documents de ce type, ce qui a permis leur exfiltration. »
Les allégations concernant Atlas Air et le groupe de ransomware Everest illustrent un schéma récurrent dans l'extorsion informatique moderne : les auteurs de menaces publient des captures d'écran et des déclarations péremptoires, tandis que l'organisation ciblée nie toute compromission, explique Tracey Hannan-Jones, directrice du conseil en sécurité de l'information chez UBDS Digital.
Dans des secteurs très interconnectés comme l'aérospatiale et le fret aérien, les répercussions en aval de ces incidents « non prouvés » peuvent tout de même être importantes, explique-t-elle.
Les fuites vérifiables fournissent généralement des signaux plus probants. Selon Hannan-Jones, il peut s'agir d'arborescences de fichiers, d'archives d'exemple, de hachages, d'horodatages, d'identifiants internes uniques ou d'une confirmation indépendante de tiers affectés. Les captures d'écran « suffisent rarement à valider la provenance » sans les données télémétriques internes de la victime, précise-t-elle.
Risques du monde réel
Ainsi, même s'il n'existe aucune preuve définitive qu'une violation ait eu lieu, ces allégations créent néanmoins des risques bien réels.
« Nier une violation de données ne fait pas disparaître le risque, cela n'en modifie que la nature », explique Dana Simberkoff, responsable de la gestion des risques, de la protection de la vie privée et de la sécurité de l'information chez AvePoint. « Dès qu'un acteur malveillant crédible fait une déclaration publique, les organisations s'exposent à des conséquences opérationnelles, réglementaires et réputationnelles, que cette déclaration soit fondée ou non. »
« Le démenti n'est pas une garantie », ajoute Rob Demain, PDG d'e2e-assure. « La déclaration d'Atlas Air selon laquelle ses systèmes n'ont pas été compromis ne concerne que son propre environnement », souligne-t-il. « Elle ne confirme ni n'infirme l'existence éventuelle de données associées à l'entreprise ailleurs dans la chaîne d'approvisionnement. »
C’est là le cœur du problème de la chaîne d’approvisionnement, explique-t-il. « Une organisation peut exercer un contrôle sur ses propres systèmes, mais pas nécessairement sur les systèmes de ses fournisseurs qui peuvent stocker, traiter ou accéder à ses données. »
Complexité de la chaîne d'approvisionnement
Avec des environnements de données interconnectés entre les opérateurs, les fabricants et les partenaires d'ingénierie, le secteur aérospatial fournit un exemple clair de la manière dont le risque lié à des tiers peut se propager à travers un écosystème.
L'aérospatiale est l'un des secteurs les plus instructifs à cet égard, car la complexité de sa chaîne d'approvisionnement est « structurelle et inévitable », selon Zaharia. « Un seul programme aéronautique implique des milliers de fournisseurs répartis dans des dizaines de pays, interconnectés par des systèmes de gestion de la maintenance, des bases de données de pièces détachées, des plateformes logistiques et des référentiels de documentation technique conçus pour l'efficacité opérationnelle, et non pour la sécurité. Nombre de ces liens reposent sur une confiance tacite qui n'a jamais été explicitement validée. »
Selon Stew Parkin, directeur technique d'Assured Data Protection, le problème qui en résulte est l'opacité de la chaîne d'approvisionnement. « La gestion traditionnelle des risques liés aux tiers (questionnaires, revues annuelles, garanties contractuelles) n'est tout simplement pas adaptée aux écosystèmes hautement interconnectés, comportant de multiples niveaux de dépendance et des plateformes partagées. »
Lorsqu'un incident comme celui d'Atlas se produit, les organisations se heurtent à la difficulté de prouver l'absence de compromission. « Il est difficile de démontrer que les données n'ont pas été consultées, surtout si la divulgation a pu se faire via un partenaire », explique Parkin. « C'est dans cet écart entre ce qui est connu en interne et ce qui peut être communiqué avec certitude en externe que le risque s'accroît le plus rapidement. »
Évolution des attentes réglementaires
Ce problème s'inscrit dans un contexte de surveillance réglementaire accrue de la sécurité, de la résilience et de la responsabilité des chaînes d'approvisionnement. Réseau et systèmes d'information 2 (NIS2), le Loi sur la résilience opérationnelle numérique (La loi DORA et la vague émergente de réglementations sur les infrastructures critiques à travers l'UE font évoluer la responsabilité en matière de sécurité de la chaîne d'approvisionnement du fournisseur jusqu'à l'opérateur.
« Selon la norme NIS2, les entités essentielles et importantes sont responsables de la gestion des risques de cybersécurité dans leurs chaînes d'approvisionnement, et non plus seulement dans leurs propres systèmes », explique Zaharia de Pentest-Tools.com. « Il s'agit d'un changement significatif par rapport aux cadres réglementaires qui considéraient la sécurité de la chaîne d'approvisionnement comme une bonne pratique ; on passe à un cadre qui la considère comme une obligation de conformité assortie de sanctions. »
À mesure que la responsabilité s'étend au-delà du périmètre de l'organisation, les entreprises doivent également prouver l'efficacité des mesures mises en place. « On attend désormais des entreprises qu'elles démontrent comment les risques sont identifiés, surveillés et gérés en continu », explique Simberkoff d'AvePoint.
Cela met les organisations sous pression pour qu'elles démontrent un modèle opérationnel et fournissent des exemples de gouvernance, de prise de décision et de mesures d'intervention, notamment lorsque les incidents impliquent des tiers ou des scénarios de violation ambigus.
Étapes pratiques
La menace qui pèse sur la chaîne d'approvisionnement est bien réelle, surtout lorsque les allégations ne sont pas fondées. Pour y remédier, les experts recommandent aux organisations de dépasser les modèles statiques d'assurance fournisseurs au profit d'une supervision continue et systémique offrant une visibilité sur les flux de données, les dépendances et la réponse aux incidents.
Concrètement, cela signifie privilégier la visibilité et l'intégration plutôt que des contrôles isolés, selon Simberkoff. Elle recommande de cartographier les flux de données, d'identifier l'emplacement des informations sensibles et d'harmoniser les exigences des fournisseurs en matière de sécurité et de réactivité.
Dans le contexte d'Atlas Air, comprendre quelles parties externes avaient un accès légitime à la documentation de maintenance de Boeing et par quels systèmes constituerait « le point de départ de toute réponse significative à la réclamation concernant l'Everest », déclare Zaharia.
Il est également essentiel de valider son plan de réponse aux incidents en se référant spécifiquement à un scénario de compromission de la chaîne d'approvisionnement, ajoute Zaharia. « La plupart des organisations disposent de plans pour les violations de leurs propres systèmes. Beaucoup moins ont testé leur réponse à un scénario où la violation se produit chez un fournisseur, où les données en question peuvent ou non leur appartenir, et où les preuves numériques sont incomplètes. »
Des systèmes de gestion intégrés et alignés sur un cadre de référence, tels que ceux construits autour ISO 27001Elles sont également utiles. Selon Simberkoff, elles fournissent un « langage et une structure communs pour la gestion des risques au sein d'écosystèmes complexes ». « Des normes comme l'ISO 27001 ne visent pas la conformité en soi. Elles permettent aux équipes de mettre en œuvre des solutions opérationnelles et d'assurer une visibilité, une assurance et une responsabilisation continues. »
« Cela offre un processus concret permettant d’affirmer et de prouver ses actions », explique-t-elle. « Dans les environnements où les risques liés à la chaîne d’approvisionnement sont inévitables, ces cadres aident les organisations à passer d’une assurance réactive à une gouvernance proactive, essentielle pour gérer l’ambiguïté, les réclamations de tiers et l’évolution des modèles de menaces. »
Élargissez vos connaissances
Blog: Les chaînes d'approvisionnement sont complexes, opaques et peu sûres : les régulateurs exigent mieux
Podcast: Phishing for Trouble Épisode n° 09 : Ce qu’il ne faut surtout pas faire en cas de catastrophe
