Les attaques par Supply Chain, ou chaine de fournisseur, visent les distributeurs de logiciels ou de matériels en intégrant au sein de leur solution du code malveillant, afin de s’en prendre à l’ensemble de leurs clients. Ces attaques par Supply Chain ont augmenté de 300% entre 2020 et 2021 selon le rapport Argon Security, 2021 Software Supply Chain Security Review. Nos fournisseurs sont-ils le maillon faible de la sécurité?
Pourquoi s’attaquer aux fournisseurs?
En s’attaquent aux fournisseurs de matériels ou de logiciels, les attaquants déploient désormais leur énergie et leur talent pour s’introduire au sein de l’infrastructure d’un unique fournisseur dans le but d’atteindre des milliers de clients finaux. Cela est facilité par le fait que les sous-traitants ont moins investi dans leur sécurité et que celle-ci est peu contrôlée par les clients finaux.
1/3 des attaques par Supply Chain sont réalisées par la mise à jour de logiciels, selon ictjournal.ch, et SolarWinds en est un triste exemple. L’attaque de la société SolarWinds en 2019 a permis aux attaquants d’insérer du code malveillant dans Orion, un des logiciels produits par SolarWinds. La mise à jour vérolée d’Orion a ensuite été téléchargée par 18 000 clients finaux. Parmi eux, seulement 250 administrations ou sociétés ont été infiltrées activement, dont des administrations américaines très sensibles. En France la compromission du logiciel Orion a eu peu d’impact car les sociétés ont mis du temps à mettre à jour le composant et l’attaque visait les Etats-Unis.
Comment se prémunir contre une attaque par Supply Chain?
Coté client, en plus d’avoir une bonne hygiène informatique, de chiffrer les données les plus critiques avec des clefs conservées en sureté et mettre en place des outils de détection, la sécurité des fournisseurs doit être enfin prise en compte. Pour cela, les clients finaux doivent renforcer les contrôles de sécurité de leurs prestataires en ne prenant pas pour acquis leur niveau de sécurité, mais en les accompagnant dans cette démarche d’amélioration continue. Comme Sanofi qui en 2021 a passé au crible ces 600 fournisseurs avec une auto-évaluation sécurité et en incluant des clauses d’audit dans les contrats. Malgré cet effort, cela n’a pas empêché 10 de ses fournisseurs d’avoir été l’objet d’une attaque informatique.
Pour les prestataires les plus critiques, la sécurité doit faire partie intégrante des appels d’offres et des audits sécurité doivent être diligentés et suivis afin de s’assurer de leur niveau de sécurité tout au long du contrat.
