Skip to main content

Attaques de la chaîne d’approvisionnement et nécessité de contrôles d’accès

Avec la dépendance croissante à une économie et à des processus commerciaux numérisés, les entreprises doivent supposer que leurs données seront exposées à des environnements non fiables. Qu’il s’agisse de logiciels ou de matériel tiers dans tout l’écosystème de la chaîne d’approvisionnement de l’entreprise, même les réseaux «de confiance» deviennent rapidement un risque en l’absence de contrôles d’accès aux données. Ces risques ne sont qu’accentués avec la croissance des effectifs répartis en travail à distance ainsi que les tensions géopolitiques qui reflètent le choc entre données libres et sécurisées et la tendance prononcée des institutions et états pour une surveillance des données de plus en plus grande. 

Pour véritablement protéger vos données, où qu’elles aillent, les stratégies de protection des données doivent commencer au niveau de l’objet de données lui-même. Les données circulent dans des environnements non fiables, mais la plupart des stratégies de protection se concentrent sur l’auto-évaluation des systèmes d’entreprise et ne tiennent pas compte des risques liés aux données tierces sur une chaîne d’approvisionnement physique et numérique étendue. Dans une récente enquête, Virtru explique que la plupart des organisations avaient des centaines d’applications basées sur le cloud avec des contrôles de données disparates dans chacune. Dans le même temps, les chaînes d’approvisionnement complexes se composent de plus de milliers de partenaires, tandis que la plupart des entreprises manquent de visibilité de leurs données à travers ces relations, y compris qui peut accéder aux informations personnelles ou exclusives.

L’expansion des environnements non fiables

L’écosystème étendu de la chaîne d’approvisionnement d’une entreprise – pas seulement ses fournisseurs de premier niveau, mais aussi les fournisseurs de leurs fournisseurs – est rarement pris en compte dans les frameworks de protection des données. Mais comme le soutiennent les professeurs Daniel Pellathy et Ted Stank, les garanties de protection des données doivent également s’étendre à la chaîne d’approvisionnement. Comme ils le notent, «un investissement substantiel dans la sécurisation des données client dans une entreprise peut facilement être compromis par un fournisseur qui ne dispose que de faibles incitations financières pour les protéger.»

Malheureusement, comme les perturbations en cours l’ont clairement montré, la plupart des organisations n’ont pas une visibilité complète sur leur chaîne d’approvisionnement étendue. Alors que les organisations repensent leurs stratégies de chaîne d’approvisionnement, il est essentiel de gagner en visibilité sur l’ensemble de l’écosystème pour mieux appréhender et se préparer à une gamme complète de risques. Une partie de cette réinitialisation doit également tenir compte de la myriade de façons dont les données sont partagées et accessibles à travers leur écosystème de chaîne d’approvisionnement étendu.

Le partage des données et la numérisation ont introduit des gains d’efficacité significatifs pour la collaboration et la spécialisation dans les chaînes d’approvisionnement, mais ils introduisent également de nouveaux risques et élargissent la surface d’attaque. Bien que la violation de la cible finale soit sans doute l’exemple le plus frappant d’attaques de la chaîne d’approvisionnement, les attaquants ayant obtenu l’accès via un partenaire, c’est loin d’être le seul mode d’attaque. Les attaques de la chaîne d’approvisionnement ont augmenté de 78% en 2019, tandis que 60% des violations de données étaient liées à des fournisseurs tiers. 

Un rapport récent de la FDIC résume les conclusions de l’évaluation du Bureau de l’Inspecteur Général Américain concernant les risques liés à la chaîne d’approvisionnement. La majorité de ces risques concernent des logiciels ou du matériel non fiables, notamment :

  • L’installation de matériel ou de logiciels malveillants fournissant un accès par porte dérobée et un contrôle du système.
  • Installation de matériel ou de logiciels contrefaits qui ont un impact sur la confiance.
  • Dépendance à un fournisseur de services malveillant ou non qualifié ayant accès aux systèmes et aux données.
  • Vulnérabilités matérielles ou logicielles non intentionnelles.

Comme le note le rapport de la FDIC, les vulnérabilités sont souvent involontaires. Des services cloud mal configurés introduisent une gamme de vulnérabilités, entraînant des centaines de violations et exposant des dizaines de milliards d’enregistrements. Compte tenu du nombre d’applications cloud sur lesquelles les entreprises dépendent, ces expositions de données non intentionnelles sont susceptibles de persister.

Dans certains cas, cependant, des attaques ciblées exploitent intentionnellement la chaîne d’approvisionnement numérique pour accéder à des données sensibles. Par exemple, dans l’ attaque CCleaner, des mises à jour logicielles légitimes ont été injectées avec des logiciels malveillants pour permettre aux attaquants de prendre pied dans les entreprises. Le logiciel malveillant a été téléchargé plus de deux millions de fois ciblant 11 entreprises distinctes. 

Les technologies non fiables sont encore une autre préoccupation croissante, les réglementations émergentes limitant l’installation de certains matériels et logiciels, en particulier lors de la passation de marchés avec le gouvernement américain. L’article 889, partie B, de la règle du Federal Acquisition Regulation (FAR) de la National Defense Authorization Act (NDAA) est entré en vigueur le 13 août 2020. Cette règle modifiée interdit à certains équipements ou services de surveillance et de technologie de faire partie d’un système. dans un contrat fédéral. En termes simples, en vertu de l’article 889, les technologies de cinq entreprises et de leurs filiales ne peuvent pas être présentes pour les entreprises qui recherchent des contrats fédéraux. Cette tendance est déjà effective en Europe.

L’article 889 fait partie d’une tendance mondiale plus large, où les démocraties du Royaume-Uni au Japon et en Australie interdisent de plus en plus certaines technologies de surveillance et de communication. Ce risque d’exposition par le biais de technologies non fiables ne fera qu’augmenter à mesure que les acteurs malveillants innovent dans leurs méthodes pour accéder aux données personnelles et propriétaires.

Contrôles d’accès au niveau des données

S’il est courant en cybersécurité de dire que la sécurisation totale du réseau est impossible, les facteurs de risque de la chaîne d’approvisionnement sont rarement considérés dans les stratégies de protection des données d’entreprise. Cela doit changer. Alors que le nombre d’applications basées sur le cloud au sein des réseaux d’entreprise croît par centaines et que les chaînes d’approvisionnement numériques et physiques des entreprises mondiales croissent par milliers, elles restent une cible de choix pour les acteurs malveillants qui recherchent un accès non autorisé aux données. 

Le maintien des contrôles d’accès et de la visibilité des données d’entreprise au niveau de l’objet peut aider les entreprises à prospérer dans une économie numérique tout en protégeant leurs données sensibles, même dans des environnements non approuvés. Il est important de noter qu’alors que les inquiétudes grandissent concernant les environnements non fiables, de nouvelles exigences réglementaires émergent et ont un impact sur le risque de conformité. La prochaine certification du modèle de maturité de la cybersécurité (CMMC)  entrera en vigueur cet automne aux Etats-Unis et nécessite un éventail de meilleures pratiques, y compris des contrôles d’accès aux données dans les systèmes distants et internes. Bien que bon nombre de ces réglementations s’adressent aux sous-traitants fédéraux, il est impératif de garantir la protection des données au niveau des objets car les environnements non approuvés et l’exposition non intentionnelle des données continuent d’avoir un impact commercial significatif.

Pour savoir comment Virtru peut vous aider à protéger les données sensibles partagées par e-mail et fichiers tout au long de votre chaîne d’approvisionnement et à vous préparer à la CMMC, téléchargez une copie gratuite de notre dernier livre blanc ou contactez- nous dès aujourd’hui.


Aller plus loin