La plupart des organisations sont désormais connectées numériquement à des centaines de fournisseurs et de vendeurs. Or, les faiblesses du dispositif de sécurité d’un fournisseur peuvent permettre à un cybercriminel d’accéder au réseau et de déployer des logiciels malveillants. SolarWinds est l’une des attaques les plus connues de ce type. Mais qu’avons-nous appris depuis l’incident de 2020 ?
Tribune – Selon Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix, les exemples récents d’attaques contre la supply chain ont été motivés par deux erreurs principales :
« La première concerne la confiance et la mentalité « ne pas demander, ne pas dire ». Les organisations se sentent encore mal à l’aise, non seulement lorsqu’il s’agit de partager les détails des incidents survenus dans leurs propres systèmes, mais aussi quant à poser des questions sur les programmes de sécurité de leurs partenaires. Cependant, les maillons d’une supply chain étant étroitement liés les uns aux autres, il est essentiel de procéder à une évaluation des risques en tenant compte des vulnérabilités des acteurs de cette chaîne. Alors qu’une attaque n’est plus une question de « si » mais de « quand », les équipes informatiques ne peuvent pas se contenter d’ignorer les risques associés aux fournisseurs de son organisation.
La deuxième erreur repose sur le mantra « il y a toujours un plus gros poisson, nous ne sommes pas assez importants ». Les petites organisations ont en effet tendance à penser qu’elles ne seront pas victimes d’une cyberattaque en raison de leur taille. En réalité, chaque organisation d’une supply chain a une responsabilité plus large, qui découle de toutes les interconnexions qu’elle a établies dans le passé ; il peut s’agir notamment des API ou de l’accès à distance des fournisseurs et des clients.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
