La chaîne logistique, nouvelle cible des cyber-attaques

Une récente enquête menée par l’institut Vanson Bourne pour CrowdStrike révèle que les cyberattaques ciblant la chaîne logistique se multiplient.

     Dans le cadre de cette étude, menée entre avril et mai 2018, plus de 1 300 professionnels et dirigeants du secteur de l’IT ont été interrogés sur la sécurité de la chaîne logistique de leur entreprise. 

Les différents acteurs semblent conscients du danger potentiel : 80 % des personnes interrogées considèrent qu’au cours des trois prochaines années, la chaîne logistique pourrait devenir la cible privilégiée des cybercriminels. Toutefois, seulement un tiers des répondants déclarent se renseigner auprès de leurs fournisseurs de logiciels, et ils sont encore moins nombreux à affirmer que leurs organisations sont suffisamment préparées pour faire face à une attaque contre leur chaîne logistique. 

 

Pourtant, lorsque l’on étudie les grands enseignements de l’étude, le constat est alarmant :

· Une majorité des organisations interrogées déclarent avoir été attaquées. Les 2/3 des personnes interrogées affirment que leurs organisations ont subi une attaque contre la chaîne logistique, et 90% d’entre elles confirment que ces attaquent ont entraîné des coûts financiers importants. Selon cette étude, le coût moyen d’une attaque dépasse généralement 1, 1 million de dollars.

· Certains secteurs sont plus ciblés que d’autres. Si les attaques contre la chaîne logistique concernent de nombreux secteurs, la pharmaceutique, la biotechnologie, l’hôtellerie, le divertissement, les médias et les services informatiques sont les plus touchés.

· Les organisations ne sont pas suffisamment préparées et se sentent vulnérables. Près de 90 % des répondants estiment qu’ils sont exposés à un risque d’attaque contre leur chaîne logistique. Ils considèrent que leur entreprise n’est pas assez rapide pour détecter le problème, le fixer et répondre aux menaces.

· Les fournisseurs de logiciels ne sont pas suffisamment vérifiés. Si près de 90 % des personnes interrogées voient la vérification de leur fournisseur logiciels comme indispensable, seulement 1/3 de ces personnes l’effectuent réellement. Les répondants reconnaissent tous unanimement le besoin d’une meilleure évaluation de sécurité, avec 58 % de dirigeants IT qui affirment envisager d’évaluer leurs fournisseurs de manière plus rigoureuse à l’avenir.

Quelles sont les types d’attaques ciblant la chaîne logistique ?

Pour apprécier les résultats de ce sondage, il est important de comprendre quels sont les types d’attaques ciblant la chaîne logistique et pourquoi celles-ci se multiplient. Les nouveautés dans les technologies de sécurité telles que le machine learning, l’intelligence artificielle et autres outils innovants ont, tout en favorisant la détection des programmes malveillants, rendu ainsi le travail des attaquants plus difficile.

Pour les cybercriminels, la prochaine étape logique est de contaminer "en amont" une application authentique et fiable. Pour ce faire, les attaquants ciblent de plus en plus les éditeurs de logiciels. Une fois qu’un fournisseur est compromis, les attaquants peuvent modifier des solutions réputées fiables pour exécuter des actes malveillants ou créer une porte dérobée dans l’environnement cible. Ignorant les modifications malveillantes apportées à leurs applications, les fournisseurs les délivrent sans le savoir à leurs clients sous forme de mises à jour logicielles authentiques.

Un contexte propice aux attaques

La recrudescence d’incidents tels que l’attaque NotPetya et le piratage de CCleaner en 2017, à laquelle est venue s’ajouter l’entrée en vigueur du nouveau Règlement général sur la protection des données de l’Union Européenne (RGDP), ont permis d’alerter sur le risque croissant d’attaques contre la chaîne logistique dans les années à venir et cette inquiétude transparaît dans les résultats de l’étude de CrowdStrike. Les attaques contre la chaîne logistique deviennent peu à peu un problème critique pour les entreprises et peuvent impacter fortement leurs relations stratégiques avec leurs partenaires et fournisseurs.

Cependant, comme le montre l’étude, les organisations manquent de connaissance, d’outils et de technologies nécessaires pour se protéger correctement. En plus de vérifier rigoureusement les logiciels de chaîne logistique proposées par les fournisseurs, les organisations doivent refermer la brèche de sécurité qui les rendent vulnérables aux attaques. Cela exige des mesures de prévention, de détection et des technologies d’intervention efficaces.

Voici quatre conseils aux entreprises pour renforcer leur sécurité informatique et éviter les attaques contre leur chaîne logistique :

Utiliser des solutions qui incluent les détections d’attaques basées sur le comportement

La nature complexe des attaques contre la chaîne logistique exige des organisations qu’elles utilisent la puissance des analyses basées sur le comportement telles que les indicateurs d’attaques. Pour réduire les risques encourus, les entreprises doivent se doter de technologies, telles que le machine learning, qui peuvent détecter des centaines, des milliers voire même des millions d’attaques par jour. Une performance qui ne peut être accomplie avec la seule perspicacité humaine. L’étude montre également que 75 % des personnes interrogées utilisent ou évaluent des solutions de détection des menaces sur les points d’accès et d’intervention pour obtenir une protection basée sur le comportement.

 

Garder une longueur d’avance sur les futures attaques contre la chaîne logistique grâce au renseignement sur les menaces 

Il est nécessaire d’anticiper et de déterminer d’où peuvent venir les menaces. Le renseignement sur les menaces – ou threat intelligence – informe de l’émergence des nouvelles attaques contre la chaîne logistique, et fournit toutes les informations nécessaires à la compréhension de l’attaque ainsi que sur les moyens d’y répondre efficacement. Les outils d’analyse des menaces intégrées proposent l’analyse, la recherche de logiciels malveillants ainsi que le renseignement sur les menaces pour fournir des informations détaillées permettant une sécurité préventive.

 

Améliorer la préparation à l’aide de services préventifs  

Pour renforcer leur sécurité informatique, les entreprises doivent non seulement auditer de manière régulière leur chaîne logistique, mais il est également nécessaire de faire des simulations d’attaque. Cela permet aux entreprises de prendre conscience de leur degré d’exposition aux attaques et d’établir une feuille de route pour améliorer la protection et la préparation d’une attaque contre sa chaîne logistique.

 

L’importance des indicateurs clés pour une intervention efficace

Selon l’étude, les répondants ont généralement besoin de 10 heures pour détecter une attaque, de 13 heures pour réagir et de 15 heures pour intervenir. Au total, les personnes interrogées ont donc besoin de 63 heures pour retourner à l’état initial de leur environnement avant l’attaque, soit l’équivalent de deux jours et demi potentiels d’interruption. Ces chiffres sont significatifs car ils diffèrent radicalement des chiffres clés que CrowdStrike considère pertinents pour que les organisations puissent répondre efficacement à une attaque.

En effet, dans son rapport "Global Threat Report" de 2018, CrowdStrike alertait sur le la notion de "breakout time", soit le temps nécessaire avant qu’un attaquant ne commence à se déplacer de manière latérale au sein des autres systèmes du réseau.

 

Le "breakout time" moyen est d’une heure et 58 minutes, ce qui constitue une fenêtre de tir étroite au cours de laquelle une organisation peut empêcher un incident de devenir une atteinte grave. Ainsi, chaque entreprise devrait appliquer la règle "1-10-60" si elle souhaite se défendre efficacement contre toute cyberattaque, y compris les attaques contre sa chaîne logistique. Chaque organisation devrait être en mesure d’identifier l’intrusion en moins d’une minute, de rechercher la cause en moins de 10 minutes et de repousser l’attaquant en moins de 60 minutes.

 

Dans un contexte de cyberinsécurité croissant, les différents acteurs de la chaîne logistique doivent impérativement vérifier les logiciels qu’ils utilisent auprès de leurs fournisseurs, effectuer des simulations d’attaques de manière régulière, mais aussi se doter d’outils permettant d’anticiper et de se préparer aux menaces potentielles.