Qu’est-ce qu’une attaque contre la chaîne d’approvisionnement?
Que notre activité principale soit la prestation de services ou l’industrie, les cyber-attaques de nos fournisseurs sont de plus en plus fréquentes. Depuis 2021, le nombre de cyberattaques a augmenté de 300 % et l’on prévoit que d’ici 2025, 45 % des attaques contre les entreprises seront des cyberattaques contre leurs fournisseurs.
Comment ces attaques sont-elles menées?
Comme nous l’avons expliqué, les cybercriminels utilisent différentes méthodes pour attaquer les entreprises de tous les secteurs, de toutes les tailles et de toutes les activités. Une fois qu’ils ont obtenu des informations, en particulier sur les clients de cette entreprise, ils essaient d’élargir leur champ d’action et d’attaquer également ces clients. Surtout s’il s’agit d’autres entreprises ou entités susceptibles de les intéresser.
En fonction du service ou du produit fourni par notre fournisseur, les cyber-attaques provenant de la chaîne d’approvisionnement peuvent nous affecter de la manière suivante :
- Si nous utilisons des technologies ou des services partagés avec notre fournisseur: Dans ce cas, l’attaque serait presque immédiate par voie informatique et nous serions touchés en même temps que notre fournisseur, simplement parce que les systèmes sont interconnectés. Exemple: une cyber-attaque subie par Microsoft qui affecte notre courrier électronique d’entreprise ou une cyber-attaque sur un collaborateur externe qui accède à nos plateformes pour fournir des services ou une assistance technique à distance dans le cas d’une entreprise industrielle.
- S’ils s’attaquent à notre fournisseur sur le plan opérationnel: Cela peut entraîner des coupures dans les fournitures de base essentielles à notre activité (électricité, eau, gaz, électricité et télécommunications).
- Au moyen de communications frauduleuses usurpant l’identité du prestataire de confiance: Ces communications, comme nous l’avons expliqué à d’autres occasions, peuvent être reçues par courrier électronique, appel téléphonique ou messages courts (par exemple, SMS, Whatsapp, TEAMS, Skype, réseaux sociaux ou toute autre plateforme de chat).
Comment les détecter et les traiter dans notre entreprise ou organisation?
Appliquer une culture de confiance zéro :
- Au niveau de l’entreprise ou de l’entité (publique ou privée), choisir de manière appropriée nos fournisseurs, prestataires et fournisseurs de services, produits et technologies. Il est important qu’ils aient le même niveau d’engagement en matière de sécurité que celui qui est exigé en interne dans notre organisation.
- En ce qui concerne les fournitures de base, il convient d’évaluer s’il est nécessaire de disposer de plusieurs fournisseurs ou de systèmes alternatifs ou de secours (par exemple, un onduleur – générateur d’électricité), en particulier dans les activités qui ne peuvent être paralysées par une interruption des fournitures. Exemple: les entités considérées comme des infrastructures critiques qui fournissent des services au public (hôpitaux, aéroports, stations d’épuration, etc.) et toute entreprise dont l’activité, qu’elle soit industrielle ou de service, ne peut être interrompue, car cela entraînerait de graves pertes économiques et de produits, ou affecterait un grand nombre de personnes.
- Sur le plan technique, il s’agit d’utiliser un double facteur pour connecter les utilisateurs aux systèmes, de fixer des privilèges de gestion minimaux pour limiter les dommages qui peuvent être causés et de surveiller les systèmes informatiques pour détecter à temps toute anomalie. Ces anomalies peuvent parfois être détectées par les utilisateurs directs de ces systèmes. C’est le cas lorsque nous ne pouvons pas utiliser une technologie (courrier, application, web, etc.) ou dans les entreprises ayant une activité industrielle en ce qui concerne les anomalies dans les lignes de production.
- Au niveau de l’utilisateur, méfiez-vous d’emblée de toute communication urgente, exigeante ou inhabituelle, et en particulier de celles qui visent à modifier les modalités de paiement des factures. Lorsqu’un fournisseur demande un changement de numéro de compte pour des paiements futurs, nous devons omettre cette communication, contacter l’expéditeur par d’autres moyens (courrier, téléphone ou contact officiel) et demander une preuve de la propriété de la banque.
NOTE IMPORTANTE : Si, malgré le respect de toutes ces mesures, vous rencontrez des situations qui ne sont pas conformes au niveau de sécurité requis ou à celui établi dans les politiques internes, n’hésitez pas à en informer votre supérieur hiérarchique, le responsable de la sécurité du CISO et le service informatique, afin qu’ils puissent vous conseiller de manière appropriée. Et bien que ces recommandations soient destinées au niveau de l’entreprise ou de l’entité, nous devons être conscients que nous pouvons également être victimes d’une cyber-attaque de nos fournisseurs au niveau individuel ou domestique, et dans ce cas, nous devons signaler l’incident aux autorités de police.