Je tombe sur un rapport d’enquête sur le sujet de la gestion des risques de la chaîne d’approvisionnement de Gartner 2023. Il indique que “les attaques contre la chaîne d’approvisionnement sont en hausse, 63% des personnes interrogées déclarant que leur organisation a subi une attaque de la chaîne d’approvisionnement au cours de l’année écoulée”.
Plusieurs questions me sont arrivées en tête et j’aimerais démêler cela avec vous!
Lorsque j’étais enfant, je m’imaginais les chemins que suivait un produit avant d’arriver entre mes mains. Plus tard, j’ai appris que ce parcours est ce qu’on appelle la chaîne d’approvisionnement.
Dans son essence, la chaîne d’approvisionnement est ensemble des étapes qu’un produit parcourt, dès la collecte des matières premières jusqu’à la livraison finale au consommateur. C’est un ballet logistique où s’entremêlent fabrication, traitement, transport, stockage et distribution.
Cette complexité d’organisation dissimule des vulnérabilités potentielles, notamment celles mises en évidence par le rapport de Gartner.
Votre entreprise achète des produits et services de l’entreprise A, mais celle-ci achète ses produits et services d’entreprise B à qui elle dépend des services de l’entreprise C.
Si l’entreprise C est victime d’un incident de sécurité ou que la qualité de ses produits est touchée, quel impact cela a sur vous, trois échelons plus loin dans la chaîne?
Comment puis-je m’assurer, en tant qu’entreprise, que mes opérations sont bien gérées et que mes produits sont livrés à mes clients sans être compromis tout au long de la chaîne, de la source à la destination ?
Comprendre l’importance de la sécurité dans la gestion des risques
Les menaces à la chaîne d’approvisionnement sont multiples, à commencer par les incidents de sécurité — notamment les rançongiciels — aux désastres naturels, en passant par les troubles sociaux ou la fabrication de faux produit.
Chacune de ces perturbations a un impact potentiellement dévastateur.
Lorsque vous achetez un ordinateur, une caméra, ou un autre équipement informatique, comment pouvez vous être certains qu’il n’a pas été compromis, c’est à dire modifié afin de vous espionner ou autre activité malicieuse?
Des exemples concrets d’attaque sur la chaîne d’approvisionnement
Prenons des cas réels :
Au Japon, le séisme et le tsunami de 2011 ont mis à mal l’industrie automobile par une pénurie de pièces.
L’incident Target de 2013 reste gravé dans les mémoires, où une violation de données a commencé par une attaque d’hameçonnage contre un sous-traitant HVAC, résultant en la compromission des informations financières de millions de clients.
En 2017, l’attaque informatique NotPetya a entraîné des pertes colossales pour l’entreprise Maersk, dont la chaîne d’approvisionnement mondiale s’est enrayée.
Toujours en 2017, une vulnérabilité dans le logiciel open source apache Struts a permis à des pirates de s’introduire dans les systèmes d’Equifax et de voler les informations personnelles de près de 147 millions de personnes.
Également en 2017, une version compromise du logiciel de nettoyage CCleaner a été téléchargée par 2,27 millions d’utilisateurs, donnant aux pirates un accès potentiel à leurs systèmes informatiques.
Puis l’attaque de SolarWinds est l’un des exemples les plus connus d’une attaque de la chaîne d’approvisionnement. En septembre 2019, les pirates ont compromis le logiciel Orion de SolarWinds, largement utilisé pour la gestion des réseaux informatiques. Ils ont ensuite utilisé cette position pour lancer des attaques contre des organisations spécifiques qui utilisaient ce logiciel c’est-à-dire des dizaines de milliers d’organisations, y compris des agences gouvernementales américaines.
En 9 décembre 2021, une vulnérabilité est découverte dans le code d’Apache Log4j (CVE-2021–44228), le 14 décembre 2021 une deuxième vulnérabilité est découverte (CVE-2021–45046) et finalement le 17 décembre 2021, une troisième vulnérabilité (CVE-2021–45105). La faille permet à un attaquant d’injecter du code malveillant dans un message de journal, ce qui peut ensuite être exécuté par le serveur vulnérable. Cela donne à l’attaquant un contrôle total sur le système, lui permettant de voler des données, d’installer des logiciels malveillants ou de perturber le fonctionnement du service. Ce logiciel est utilisé par de nombreuses entreprises (Estimé à 44% des entreprises dans le monde).
Plus près de nous, en juillet 2022, l’entreprise de télécommunication Rogers tombe en panne causant des dommages aux clients d’Interac, pour les paiements à la Ronde, à la SQDC, le service 311 de Montréal et aux services de vélo en libre-service de la ville de Québec ont été impacté.
Cette liste est très courte mais ces événements sont révélateurs de la vulnérabilité inhérente aux systèmes interconnectés. Il est évident que comprendre la cybersécurité ne se limite pas à protéger ses propres réseaux, mais implique aussi de prendre en compte les risques associés à ceux de nos partenaires et fournisseurs.
Lien avec la norme ISO27001:2022
La nouvelle version de la norme ISO 27001:2022 met l’accent sur la gestion de la sécurité de l’information dans les relations avec les fournisseurs. Plus précisément, l’Annexe A contrôle 5.19, 5.20, 5,21et 5.22 traites de la sécurité de l’information dans les relations avec les fournisseurs.
L’objectif ici est de protéger les actifs précieux de l’organisation qui sont accessibles aux fournisseurs.
La norme souligne également l’importance de la gestion de la sécurité de l’information dans la chaîne d’approvisionnement. Des processus et des procédures doivent être définis et mis en œuvre pour gérer efficacement la sécurité de l’information tout au long de la chaîne d’approvisionnement.
Suggestions d’actions à prendre pour gérer la chaîne d’approvisionnement
Comment alors gérer les risques? Concrètement, cela signifie :
Identifier ses fournisseurs: obtenir la liste des fournisseurs, des produits, et des services que vous utilisez dans le cadre de votre travail ou afin de livrer un produit à vos clients. Documenter les types de services ou produits que ces fournisseurs vous offres.
Déterminer les fournisseurs critiques: dans notre longue liste de fournisseurs, certains sont plus critiques que d’autres, alors pour chaque fournisseur on se pose quelques questions minimal pour les départager:
Le fournisseur a-t-il accès à des données confidentielles? Oui/Non
S’il à accès à des renseignements personnels? Oui/Non
S’il pose un risque pour nous s’il était compromis? Oui/Non
S’il est critique pour nous pour une autre raison? Oui/Non
Identifier les risques: pour chaque fournisseur critique, on définit les dangers, les risques ou les menaces pouvant impacter ce fournisseur et nous par la même occasion en utilisant des scénarios tels que fuite de donnée, corruption, indisponibilité de services, etc. Pour chaque scénario de risque, on utilise la formule Probabilité X Impacts afin de déterminer quelle menace est la plus importante et permet facilement de les placer en ordre d’importance.
Valider le niveau de sécurité de ses fournisseurs : une fois que nous avons notre liste et nos risques, nous devons prévenir les incidents en nous assurant que les mesures de sécurité sont prises par nos fournisseurs en réalisant des audits de leurs pratiques et/ou des tests de sécurité contre leurs systèmes.
Également, valider que votre fournisseur effectue également lui aussi une validation de ses propres fournisseur.
Il est bon de valider ces niveaux régulièrement.
Gérer les risques: valider ses accords sur les niveaux de service (SLA) ainsi que ses pratiques de communications en cas d’incident pour s’assurer une détection et communication rapide.
Spécifiquement pour les logiciels installés sur vos postes, valider le SBOM (Software Bill Of Materials) terme en anglais, c’est une liste tous les composants logiciels et les dépendances d’une application. Il est comparable à la liste des ingrédients d’une recette, mais pour un logiciel.
Diversifier ses fournisseurs : compter sur un ou deux fournisseurs peut sembler pratique, mais mieux vaut répartir le risque ou avoir une stratégie de sortie d’un fournisseur en cas de besoin. Alors, s’il est possible, ayez un peu de redondance dans vos fournisseurs.
Être réactif : établir des plans d’urgence, des alternatives à vos pratiques en cas de défaillance. Maintenir une bonne communication et une bonne gestion des incidents avec les partenaires. Savez-vous qui contacter en cas de découverte d’incident?
Agir avant, pendant et après un incident est la clef d’une bonne gestion de la chaîne d’approvisionnement.
Cela dit, il est crucial de réaliser que le bon fonctionnement de nos opérations et systèmes d’information est intimement lié à celle de nos fournisseurs et partenaires d’affaires.
Les événements que j’ai énumérés plus haut devraient vous pousser à reconsidérer vos pratiques en matière de gestion des fournisseurs. Je sais que l’incorporation des pratiques de sécurité dans une routine quotidienne peut sembler une tâche ardue, mais elle est indispensable pour avoir une entreprise en santé, gérer les risques et continuer de faire grandir notre entreprise avec confiance.
L’avenir de la sécurité de l’information dans les chaînes d’approvisionnement?
L’intelligence artificielle (IA):
L’IA jouera un rôle crucial dans la détection des menaces en analysant les données de la chaîne d’approvisionnement en temps réel, sur plusieurs sources avec plusieurs types de donnée pour faire un tableau de bord simple.
Elle peut identifier les anomalies et les comportements suspects, permettant aux entreprises de réagir plus rapidement aux incidents de sécurité.
La blockchain:
La blockchain peut être utilisée pour sécuriser les transactions dans la chaîne d’approvisionnement en créant un registre immuable et transparent de toutes les activités.
Cela permet de renforcer la confiance entre les parties prenantes et de réduire les risques de fraude.
L’Internet des objets (IoT):
L’IoT peut être utilisé pour collecter des données en temps réel sur les produits et les processus de la chaîne d’approvisionnement. Ces données peuvent ensuite être analysées pour identifier les vulnérabilités et les risques de sécurité.
La cybersécurité collaborative:
Les entreprises peuvent collaborer entre elles pour partager des informations sur les menaces et les meilleures pratiques en matière de sécurité de la chaîne d’approvisionnement.
Liens et références
https://www.cyber.gc.ca/fr/orientation/cybermenace-provenant-chaines-approvisionnement
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
