Comment les cyberincidents majeurs démontrent l'impact réel des vulnérabilités de la chaîne d'approvisionnement sur les entreprises

Les cyberattaques ont des conséquences désastreuses pour les entreprises. Elles peuvent paralyser leurs activités, vider leurs caisses et éroder la confiance des clients. Bien souvent, elles ne sont pas dues à des failles de sécurité dans les systèmes informatiques des victimes, mais plutôt à des vulnérabilités présentes dans leurs chaînes d'approvisionnement numériques.

Un exemple récent est celui de Jaguar Land Rover (JLR), victime d'une cyberattaque catastrophique que les experts du Centre de surveillance de la cybersécurité (CMC) estiment traité Un coup dur de 1.9 milliard de livres sterling pour l'économie britannique. Le constructeur automobile a dû interrompre sa production pendant plusieurs semaines, freinant la croissance du secteur automobile britannique. On pense que l'interconnexion du système informatique mondial de Jaguar Land Rover, son intégration aux technologies opérationnelles des usines et sa dépendance aux systèmes de la chaîne d'approvisionnement ont permis aux pirates d'agir rapidement, tout en compliquant la tâche des équipes informatiques chargées d'isoler l'attaque.

D'autres cyberattaques coûteuses contre la chaîne d'approvisionnement ont touché Marks & Spencer (M&S) et Co-op cette année. M&S a pris des mesures… £ 300 millions ses bénéfices ont été affectés, tandis que la coopérative s'attend à perdre £ 120 millions Ces incidents ont eu un impact sur les résultats annuels. Ils ont tous deux entraîné des ruptures de stock chez les détaillants, illustrant les perturbations opérationnelles que les piratages informatiques peuvent engendrer pour les entreprises. Ces incidents ont été causés par des failles de sécurité chez un fournisseur tiers, exploitées grâce à des techniques d'ingénierie sociale.

Face à la combinaison de vulnérabilités des chaînes d'approvisionnement et de mauvaises pratiques de gestion informatique qui ont contribué aux cyberattaques contre JLR, M&S et Co-op, que peuvent faire différemment les entreprises pour renforcer leurs cyberdéfenses et leurs chaînes d'approvisionnement numériques ?

Un effet domino

Aujourd'hui, les entreprises modernes dépendent fortement d'un écosystème de plateformes, de logiciels, d'applications et de technologies physiques diverses – tous fournis par différents prestataires – pour assurer leur pérennité. Et lorsque des cybercriminels s'attaquent à une partie de cet écosystème, les conséquences sont inimaginables et difficiles à maîtriser.

« Une simple défaillance de dépendance ne provoque pas seulement une panne technique d'une journée », explique Tom Finch, responsable de l'ingénierie chez Chainguard, fournisseur de logiciels de sécurité pour conteneurs. « Elle déclenche une réaction en chaîne de perturbations opérationnelles, de cycles de correctifs d'urgence, d'inquiétude des clients et d'audits réglementaires dont il faut parfois des semaines, voire des mois, pour se remettre. »

Dès que cette réaction en chaîne se déclenche, différents secteurs de l'entreprise, tous interconnectés par logiciel, sont rapidement touchés. Pete Hannah, vice-président Europe de l'Ouest chez Object First, fournisseur de solutions de stockage de sauvegarde, explique qu'un seul fournisseur compromis peut entraîner un effet domino dans toute l'organisation victime, impactant négativement ses opérations, ses livraisons, ses relations clients et ses performances financières.

Hannah ajoute que même les plus petites perturbations de la chaîne d'approvisionnement peuvent entraîner des retards de production, des pénalités contractuelles et une perte de clientèle. Et si le redressement financier d'une entreprise peut être très lourd à encaisser, il estime que l'érosion de la confiance peut être encore plus durable.

Faiblesse des chaînes d'approvisionnement numériques

Les attaques ciblant la chaîne d'approvisionnement sont devenues une source fréquente de perturbations dans le paysage commercial actuel. Selon Pierre Noel, RSSI EMEA chez Expel, fournisseur de solutions de détection et de réponse gérées, cela s'explique par des vulnérabilités structurelles présentes dans l'ensemble des chaînes d'approvisionnement numériques.

Bien que les entreprises s'appuient de plus en plus sur des systèmes et des technologies interdépendants, Noel affirme que ces derniers sont fragilisés par des « faibles lacunes en matière de sécurité » présentes à tous les niveaux de la chaîne d'approvisionnement numérique. Il ajoute que ce manque de visibilité et de responsabilité a pour conséquence que les attaques contre la chaîne d'approvisionnement passent souvent inaperçues pendant de longues périodes, et que personne ne sait vraiment comment y faire face ni qui en est responsable.

Ce sentiment est partagé par Finch de Chainguard, qui qualifie les chaînes d'approvisionnement logicielles de « structurellement fragiles ». Il explique que l'« interconnexion » des logiciels modernes, composés de nombreux éléments différents « conçus et maintenus par des milliers de personnes », crée une « faille de sécurité ».

Outre la fragilité et la fragmentation de la chaîne d'approvisionnement logicielle, Hannah d'Object First souligne que de nombreuses organisations négligent de vérifier régulièrement la sécurité de leurs fournisseurs tiers. Parallèlement, il indique que les cybercriminels exploitent fréquemment les mises à jour logicielles, les accès privilégiés, les identifiants de tiers et les dérives de configuration pour s'infiltrer dans les chaînes d'approvisionnement et, bien sûr, au sein des entreprises.

Il déclare à IO : « À moins que les entreprises n'évaluent et ne testent en permanence la résilience de leur chaîne d'approvisionnement, au lieu de se fier à des contrôles de conformité périodiques, les mêmes schémas de perturbation persisteront. »

Une bonne gestion des fournisseurs est essentielle

Face à des chaînes d'approvisionnement numériques plus vulnérables que jamais, il est devenu urgent pour les entreprises d'améliorer leurs pratiques de gestion des fournisseurs et des clients. Pour Hannah d'Object First, cela implique d'aller au-delà des contrats fournisseurs et de se préparer aux attaques de la chaîne d'approvisionnement « de manière coordonnée ».

Pour ce faire, il affirme que les organisations doivent collaborer étroitement avec leurs fournisseurs à l'élaboration et à la mise en œuvre de plans de réponse aux incidents. Parallèlement, les rôles et les responsabilités doivent être clairement définis afin que « la reprise soit plus rapide et les perturbations limitées ».

Un autre expert qui reconnaît l'importance d'une coordination étroite entre entreprises et fournisseurs pour atténuer les risques liés à la sécurité de la chaîne d'approvisionnement est Finch de Chainguard. Selon lui, lorsque tous les acteurs de la chaîne collaborent sur les rôles de réponse aux incidents et les canaux de communication, les organisations peuvent réagir aux attaques avec plus de rapidité et de précision. Il ajoute : « Ensemble, ces pratiques permettent de réduire l'ampleur et l'incertitude des incidents bien avant qu'ils ne deviennent des problèmes financiers ou de réputation. »

Les mesures d'atténuation, notamment une meilleure coordination des fournisseurs, sont essentielles. Les entreprises doivent également se préparer au pire scénario des cyberattaques : une rupture de confiance avec les clients. Pour Noel d'Expel, cela implique « une responsabilisation claire, un audit contractuel des fournisseurs à haut risque, une communication transparente et une réponse coordonnée aux incidents ». Il ajoute : « Les clients n'attendent pas la perfection ; ils attendent rapidité, honnêteté et compétence. »

Autres changements

Au-delà de bonnes pratiques de gestion des fournisseurs et des clients, d'autres changements sont-ils nécessaires ? Pour Noel d'Expel, la réponse est un oui catégorique : les organisations ne doivent plus considérer la sécurité de leur chaîne d'approvisionnement comme une action ponctuelle. Cela implique de remplacer les solutions réactives par une gouvernance proactive des risques, les RSSI travaillant en étroite collaboration avec les fournisseurs pour renforcer les chaînes d'approvisionnement numériques.

Noel partage cet avis, et Finch de Chainguard affirme que les entreprises et leurs fournisseurs tiers doivent considérer la sécurité de la chaîne d'approvisionnement comme une « responsabilité partagée ». Cela implique que les dirigeants, les responsables de la conformité et les technologues décloisonnent les services et collaborent étroitement afin que les logiciels futurs soient « plus rapides, plus intelligents et plus collaboratifs que jamais ».

Bien que le traitement de la sécurité de la chaîne d'approvisionnement comme une responsabilité partagée soit essentiel pour atténuer et contenir les attaques, Chris Binnie, consultant en sécurité cloud native basé à Édimbourg, exhorte les fournisseurs à s'assurer qu'ils disposent d'une « meilleure visibilité sur leurs propres chaînes d'approvisionnement » avant de fournir des produits aux entreprises clientes.

Pour atténuer les risques de futures attaques contre la chaîne d'approvisionnement, Diane Downie, architecte logicielle senior chez Black Duck, spécialiste de la sécurité des applications, recommande aux organisations d'« établir, de toujours appliquer et d'améliorer en permanence les bonnes pratiques ». Selon Hannah d'Object First, l'adoption d'une architecture zéro confiance comme bonne pratique clé peut également s'avérer utile, car elle limite « la portée des actions d'un attaquant au sein d'un environnement ».

Il est indéniable que les attaques contre la chaîne d'approvisionnement sont devenues un véritable casse-tête pour les entreprises et leurs fournisseurs. Pourtant, il est possible de les atténuer, de les détecter et de les contenir sans trop de difficultés ; entreprises et fournisseurs doivent simplement s'engager collectivement à considérer la sécurité de la chaîne d'approvisionnement comme une responsabilité partagée et permanente. Concrètement, cela implique de mettre en place des plans, des processus et des responsabilités clairement définis afin de contrer les attaques.

Bien sûr, même avec les meilleures mesures de sécurité, il arrivera toujours que des attaquants parviennent à compromettre les chaînes d'approvisionnement. C'est là qu'une réponse coordonnée aux incidents est essentielle. Et, bien entendu, les entreprises et leurs partenaires doivent faire preuve de transparence envers leurs clients quant à la situation afin de préserver leur confiance.