La Supply Chain, un secteur critique particulièrement visé par des menaces Cyber
|
Avis d'expert d'Emmanuelle Tavenne (Chrymelie)
14/10/2021
Les trente dernières années ont vu se développer les outils informatiques et les systèmes d’information de façon exponentielle et cet état évolue à chaque instant au point qu’aujourd’hui, une grande majorité des entreprises dispose d’outils informatique, généralement connectés à internet qui leurs permettent l’accélération des échanges, le stockage d’informations, l’accès à des biens et services partout dans le monde.
Néanmoins, l’augmentation de l’utilisation des systèmes d’information et des outils connectés, augmente par la même occasion les possibilités d’attaques malveillantes de ces systèmes.
Les systèmes en question représentent l’ensemble des supports (sites internet, serveurs, clés USB, bases de données, …), moyens techniques (réseaux informatiques, téléphoniques, satellitaires, …) utilisés pour l’échange de données, et le contenu qui y transite (données personnelles, financières, messagerie, …). (Arpagian 2010)
C’est l’intrusion mal intentionnée de ces supports, moyens techniques ou contenu qui définit ce qu’est une cyberattaque.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) définit 4 catégories de menaces qui sont : (Français s.d.)
CATEGORIES DE MENACES | |
---|---|
Cybercriminalité |
Usurpation d’identité pour obtenir, altérer, ou crypter des données et en faire un usage criminel |
Atteinte à l’image |
En rendant un service attendu inutilisable ou en altérant le contenu de pages web |
Espionnage |
Recherche de renseignements (industriels, logistiques, …) afin de les exploiter ou de les commercialiser. |
Sabotage |
Rendre inopérant tout ou partie d’un Système d’Information |
Il faut les distinguer des « mécanismes de propagation » ou techniques d’attaque mises en œuvre dont :
MECANISMES DE PROPAGATION (liste non exhaustive) | |
---|---|
Logiciel malveillants |
Par ex. : Logiciels espions utilisés pour voler les informations d’identification des employés, contamination en cascade des utilisateurs … |
Ingénierie sociale |
Par ex. : Phishing, fausses applications, usurpation d’identité, … |
Force brute |
Par ex. : deviner un mot de passe SSH, deviner une connexion web |
Exploiter une faille de configuration ou de logiciel |
Par ex. : deviner un mot de passe SSH, deviner une connexion web |
Attaque physique |
Par ex. : Modification physique du matériel, intrusion physique, … |
Open Source |
Par ex. : Recherche en ligne d’information d’identification, clés API, Noms d’utilisateurs |
Les attaques cyber impliquant la Supply Chain sont un problème de sécurité depuis de nombreuses années, mais la communauté semble avoir été confrontée à un plus grand nombre d'attaques au cours des 5 dernières années, et qui s’organisent toujours mieux au fil du temps.
Parmi les attaques qui ont marqué les esprits, on note :
- « Wannacry » (mai 2017), logiciel malveillant de type « rançongiciel » autorépliquant ayant touché plus de 300 000 ordinateurs dans plus de 150 pays dont, plus particulièrement, l’Inde, les Etats Unis et la Russie en exploitant une faille de sécurité sur les OS Windows antérieur à Windows 10. Parmi les entreprises visées, Renault a dû mettre à l’arrêt plusieurs site industriels pour ralentir la propagation du virus dont au moins 4 sites en France pendant 2 à 4 jours. L’attaque s’est par ailleurs étendue à Nissan, membre de l’alliance en impactant à minima l’un de ses sites de production (Béziat 2017).
- « NotPetya » (juin 2017), logiciel malveillant de type « Wiper » (qui détruit les données) bien qu’apparaissant à l’origine comme un rançongiciel. Les cybercriminels se sont servi des principes de la Supply-Chain pour se déployer et avoir un impact significatif en termes de temps d’arrêt des systèmes, de pertes monétaires et de dommages à la réputation.
Parmi les effets de cette attaque, l’exemple le plus parlant d’un point de vue Supply Chain est celui de l’entreprise de transport et logistique Maersk. En effet, en tant qu’entreprise logistique, Maersk dépend de nombreux partenaires mondiaux pour maintenir ses opérations et ces partenaires dépendent eux même de Maersk pour assurer le fonctionnement efficace de leur chaîne d’approvisionnement.
Lors de la cyberattaque, Maersk qui traite 1 container sur 7 expédié dans le monde a suspendu les expéditions et a limité ou arrêté ses opérations dans trois des plus grands ports du monde. Bien que la compagnie maritime ait réagi rapidement à l'attaque, elle a subi des pertes financières substantielles estimées à 300 millions d’Euros et généré pour ses clients des retards de livraison importants.
Plus récemment une campagne d’espionnage numérique ayant probablement débuté en mars 2020 et qui n’a été identifiée qu’en décembre 2020 (FranceInfo 2020) a été possible par le biais d’une mise à jour compromise de l’un des logiciels de gestion et supervision des réseaux informatiques de l’entreprise Solarwinds. Près de 18 000 clients ont été touchés et parmi eux Microsoft, ou certains ministères français. La cible finale de cette attaque n’est pas identifiée, mais si celle-ci devait par exemple être Microsoft, les Cybercriminels ont, pour l’atteindre, utilisé une faille identifiée chez un de ses fournisseurs.
L'importance de la Supply-Chain est attribuée au fait que les attaques réussies touchent un ensemble de clients qui font appel au fournisseur concerné. Par conséquent, les effets en cascade d'une seule attaque peuvent être répercutés sur l’ensemble des clients et fournisseurs, quel que soit leur rang dans la chaîne tant au point de vue risque cyber, qu’au point de vue activité de l’entreprise.
En mai 2021, une attaque visant un oléoduc de l’entreprise Colonial Pipeline (près de 45% des carburants consommés sur la côte est des Etats-Unis), a entraîné une pénurie de carburant dans 30 % des stations-service autour des grandes villes, la modification du plan de transport aérien de vols long courrier et a poussé les autorités à prendre des mesures d’urgence pour faciliter l’approvisionnement et éviter la panique (France24 2021).
Face à ces menaces, les états mettent en place un certain nombre de mesures. Elles sont :
- Préventives : Aux Etats Unis où une certification CMMC (Cybersecurity Maturity Model Certification) définit un niveau minimum de protection à avoir pour pouvoir être fournisseur (et ce, quel que soit le rang) du Département de la Défense.
En France, l’ANSSI propose un MOOC (Massive Open Online Course) traitant de cybersécurité et qui permet de comprendre quels sont les risques et menaces liés au numérique (cybercriminalité, atteinte à l'image, espionnage, sabotage...) et quelles sont les bonnes pratiques à adopter (comment choisir correctement son mot de passe, sécuriser son accès Wifi, protéger ses données...) (Info 2021).
- Palliatives : En France a été mise en place une plateforme de support destinée aux particuliers et aux entreprises propose d’aider à identifier les catégories et méthodes de propagation utilisées, ainsi que les diverses actions à mettre en œuvre pour s’en prémunir : https://www.cybermalveillance.gouv.fr/diagnostic/accueil
- Surveillance : L’Europe, par le biais de l’ENISA (European Union Agency for Cybersecurity) publie un rapport annuel des attaques visant la Supply Chain, les classifie selon leur sévérité et leurs occurrences :
https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks
Pour les entreprises dans leur ensemble, il s’agit surtout de mettre en place un plan de continuité globale qui permette l’isolation des données, un système de protection informatique à jour, et enfin une formation des salariés aux bonnes pratiques de sécurité cyber et qui doit faire l’objet d’une mise à niveau régulière. Néanmoins, lorsqu’il s’agit de la chaîne d’approvisionnement, plusieurs problèmes se posent pour parvenir à une sécurisation optimale. L’un d’entre eux est de savoir où réside la responsabilité organisationnelle. Aujourd’hui, tous les départements travaillent en relation avec la Supply Chain mais aucune personne ou équipe n’est tenue responsable.
Le droit de l'entreprise peut inclure des exigences de sécurité dans les contrats avec les vendeurs et les fournisseurs, mais comment sont-elles appliquées ? Les administrateurs de contrats s'assurent-ils que des niveaux de sécurité et de conformité adéquats existent pour leurs sous-traitants comme le font les Etats Unis avec la certification CMMC ? Les pratiques de gestion des risques et les équipes internes tiennent-elles compte de la chaîne d'approvisionnement lors de la détermination du risque organisationnel ? La planification organisationnelle de la réponse aux incidents comprend-elle des activités de détection, d'analyse, de réponse et de correction des menaces pour l'ensemble de la chaîne d'approvisionnement ? L'IT doit-il assumer la charge de sécuriser les fournisseurs qui n'en ont peut-être pas les capacités ?
La Supply Chain et les effets en cascade qu’elle permet est une opportunité et terrain de jeu idéal pour les cybermenaces et cela ne devrait pas s’améliorer dans le temps. D’après l’ENISA (European Union Agency for Cybersecurity), les attaques cyber visant la chaîne d’approvisionnement devraient être multipliées par 4 en 2021.
Références
Arpagian, Nicolas. La Cybersécurité. Presses Universitaire de France, 2010.
Béziat, Eric. «Cyberattaque mondiale renault nissan dans l'oeil du cyclone.» Le Monde, 2017.
Billaud, Marjorie. Cyberattaque mondiale "WannaCry", le virus de rançon qui chiffre les données.
2019. https://ecobizsud.fr/jcms/prd_1151199/fr/cyberattaque-mondiale-wannacry-le-virus-de-rancon-qui-chiffre-les-donnees (accès le 8 25, 2021).
Bulletin, Procurement. «How a cyberattack impacts global supply chains.» procurement bulletin, 2021.
Français, Gouvernement. Risques - Prévention des risques majeurs. s.d.
https://www.gouvernement.fr/risques/cybercriminalite.
FranceInfo. «SolarWinds : ce que l'on sait sur la cyberattaque massive qui touche notamment Microsoft et des agences fédérales américaines.» France Info, 2020.
Info, Bercy. Cybersécurité : un MOOC pour apprendre à protéger vos données. 23 Février 2021.
https://www.economie.gouv.fr/entreprises/cybersecurite-mooc-proteger-donnees.
FAQ logistique est un média relayant les actualités des secteurs transport, logistique et supply-chain. Les communiqués de presse publiés sur FAQ Logistique ne sont pas rédigés par nos équipes mais directement par les sociétés qui souhaitent les diffuser sur notre site.
FAQ logistique ne peut donc en aucun cas être considéré comme responsable de leurs contenus. Pour toute question relative à un communiqué, nous vous invitons à vous rapprocher directement de la société concernée.