Lorsque le géant de l’externalisation informatique Capita a été victime d’une faille de ransomware en mars, il a fait de son mieux pour contrôler le discours médiatique. Mais les incidents de chaîne d’approvisionnement comme celui-ci ont tendance à échapper même aux équipes de relations publiques les mieux entraînées. Après quelques semaines de nouvelles au goutte-à-goutte en provenance de Capita, le pire cauchemar de l'entreprise est survenu : un flot de rapports de notification de violation émanant d'entreprises clientes. Grâce à cet incident et à un deuxième incident impliquant une mauvaise configuration du cloud, le nombre de victimes s'élève désormais à au moins 90.
Il existe de nombreux points à retenir pour les équipes de sécurité et de conformité. Mais ils peuvent se résumer à une seule idée. Vous pouvez avoir mis en place le meilleur programme d'atténuation des cyber-risques au monde, mais votre organisation pourrait toujours être gravement exposée à des incidents si elle ne couvre pas la chaîne d'approvisionnement.
D’après une estimation l'année dernière, 98 % des organisations mondiales ont subi une violation de leur chaîne d'approvisionnement en 2021. Il est temps d'étendre la visibilité et le contrôle de l'intérieur vers l'extérieur de l'entreprise.
Qu’est-il arrivé à Capita ?
Capita est resté discret sur « l’incident » qui aurait eu lieu le 22 mars, révélant seulement à ce jour que « certaines données ont été exfiltrées de moins de 0.1 % de son parc de serveurs ». En fait, les rapports suggèrent que le groupe de ransomwares BlackBasta était à l'origine de la violation, les informations personnelles et bancaires des victimes étant déjà vendues sur le dark web. Cela a de graves implications pour les nombreuses entreprises clientes du cabinet et, en fin de compte, pour leurs clients.
Capita a des contrats d'une valeur de plusieurs milliards de livres sterling avec des clients du gouvernement et du secteur privé, notamment Royal Mail, Axa et USS, l'un des plus grands fonds de pension du Royaume-Uni. Régulateur Bureau du commissaire à l'information (ICO) a été inondé avec les notifications de violation de ces clients. Parallèlement, le Régulateur des Retraites (TPR) aurait écrit à plus de 300 fonds pour leur demander de vérifier s'ils ont également été impactés.
Le capital n'est pas la première et ne sera pas la dernière source de cyber chaîne d'approvisionnement risque. Plus récemment encore, de grandes marques, dont BA, Boots ou encore la BBC, ont été prises au dépourvu par une fuite de données personnelles et financières affectant leurs collaborateurs et potentiellement leurs clients. Le coupable? Un bug dans un outil de transfert de fichiers appelé MOVEit, utilisé par leur fournisseur de paie, Zellis. On estime que des milliers d'entreprises, utilisateurs directs et indirects de logiciels, pourraient avoir été touchées.
Pourquoi le risque de la chaîne d'approvisionnement est difficile à gérer
Alors que l’impact de ces deux violations continue de faire la une des journaux à travers le monde, le moment est venu de mieux comprendre les risques liés à la chaîne d’approvisionnement. Jamie Akhtar, PDG de CyberSmart, affirme que l'incident de Capita est l'un des meilleurs exemples des risques de sécurité que posent les chaînes d'approvisionnement.
« Cela sert d’avertissement au monde des affaires britannique. Si vous faites partie d'une chaîne d'approvisionnement, les cybercriminels tenteront de vous cibler tôt ou tard : l'opportunité de provoquer des perturbations ou de voler des données importantes est trop belle pour la laisser passer », dit-il. « Nous exhortons donc les entreprises de toutes tailles à réfléchir à leur chaîne d’approvisionnement et aux risques qu’elle comporte. »
Simon Newman, PDG de The Cyber résilience Center for London, ajoute que les attaquants ciblent de plus en plus les chaînes d'approvisionnement vastes et complexes en raison de l'amélioration des efforts de sécurité internes.
« La capacité de compromettre la sécurité d'un fournisseur constitue non seulement une porte dérobée potentielle vers de plus grandes organisations, mais comme le tiers est susceptible de fournir également des produits ou des services à d'autres entreprises, cela signifie que l'ampleur et la portée de l'attaque est bien plus important », prévient-il.
Alors pourquoi les risques liés à la chaîne d’approvisionnement sont-ils si difficiles à gérer ?
Une attaque contre la chaîne d’approvisionnement peut prendre plusieurs formes. Il se peut que les données de l'entreprise soient gérées par un fournisseur qui soit ensuite piraté (comme Capita ou Blackbaud). Il se peut qu'un fournisseur ou un partenaire disposant de connexions à votre réseau soit compromis, permettant ainsi aux pirates informatiques d'accéder aux actifs et aux données informatiques de votre organisation. Cela s'est produit dans le massif 2013 Non-respect de l’objectif. Il se pourrait même que plusieurs utilisateurs en aval d'un logiciel compromis soient infectés après que des pirates informatiques y aient implanté des logiciels malveillants ou exploité des bogues, comme cela s'est produit avec MOVEit et Accelliion.
Alors que la transformation numérique se poursuit à un rythme soutenu, la surface des cyberattaques des fournisseurs continue de croître. Leurs environnements informatiques changent constamment, ce qui nécessite un examen attentif et, idéalement, continu. Mais cela n’arrive pas. Selon le Centre national de cybersécurité (NCSC), certains des principaux défis liés à la gestion des risques liés à la chaîne d'approvisionnement résident dans la maîtrise des bases, telles que :
- Comprendre les risques associés aux pauvres sécurité de la chaîne d'approvisionnement
- Investir davantage dans l’atténuation des risques
- Améliorer la visibilité sur les chaînes d'approvisionnement
- Obtenir les bons outils et l'expertise pour évaluer la cybersécurité des fournisseurs
- Comprendre les questions à poser aux fournisseurs
Malheureusement, les efforts actuels ne suffisent pas. Selon un rapport du gouvernement, seule environ une entreprise sur 10 (13 %) examine les risques posés par les fournisseurs. Comme mentionné ci-dessus, les obstacles cités dans le rapport incluent l'argent, les compétences, la priorisation et l'obtention des informations correctes auprès des fournisseurs. Mais il est également important de savoir quels fournisseurs contrôler et quels contrôles effectuer. C'est là que l'international normes comme ISO 27001 peut aider.
Comment ISO 27001 peut vous aider
Selon IBM, 20 % des incidents de violation de données proviennent de fournisseurs, pour un coût moyen de 4.46 millions de dollars par violation, soit plus que la moyenne de tous les types de violation (4.35 millions de dollars). Cela devrait suffire à lui seul à concentrer les esprits sur la tâche de gestion de la chaîne d'approvisionnement risquer plus efficacement. Mais comment? Tout d’abord, considérons la cartographie de la chaîne d’approvisionnement (SCM) du NCSC. l'orientation, qui vous aidera à comprendre qui sont vos fournisseurs, ce qu'ils proposent et comment ils le proposent. Cela devrait permettre une prise de décision plus efficace basée sur les risques.
L'évaluation et la gestion de la sécurité des fournisseurs sont également un élément essentiel d'un système de gestion de la sécurité de l'information (ISMS). ISO 27001 peut vous indiquer comment y parvenir à travers des étapes telles que :
- Établir une politique formelle pour les fournisseurs, qui décrit vos exigences en matière d'atténuation des risques associés aux tiers
- Convenir et documenter ces exigences avec chaque fournisseur
- Vérifier que les fournisseurs ont mis en place des processus pour atteindre les niveaux appropriés de sécurité de base (y compris leurs propres chaînes d'approvisionnement). Cela pourrait se faire via des audits ciblés, des questionnaires ou des contrôles d'accréditation auprès de la norme ISO 27001.
- Tenir à jour une liste régulièrement mise à jour des fournisseurs agréés
- Évaluez régulièrement si les fournisseurs répondent à vos exigences de sécurité.
- Assurez-vous que tout changement de technologie ou de processus est rapidement signalé et que vous comprenez leur impact sur le risque du fournisseur.
À mesure que la taille et la complexité des chaînes d’approvisionnement continuent de croître, les cyber-risques augmentent également. Il est temps d'agir.
Simplifiez la gestion de votre chaîne d'approvisionnement dès aujourd'hui
Découvrez comment notre solution ISMS permet une approche simple, sécurisée et durable de la gestion de la chaîne d'approvisionnement et de la gestion de l'information avec la norme ISO 27001 et plus de 50 autres cadres.
