Ce que signifie vraiment le fait de prendre au sérieux le risque lié aux tiers

Le rythme des violations de données et des intrusions dans les systèmes informatiques s'accélère à un rythme alarmant. Nous assistons à des progrès sans précédent dans la sophistication des attaquants. Dans le même temps, les dernières et plus grandes avancées technologiques ont permis aux organisations et à leurs chaînes d'approvisionnement de gagner en efficacité et en efficience.

Cependant, les fournisseurs de la chaîne d'approvisionnement sont tout aussi vulnérables aux attaques avancées. Le niveau croissant d'accès et d'intégration dans les environnements des organisations hôtes peut présenter des risques et de nouvelles voies potentielles de compromission. Par conséquent, pour gérer ces risques, les organisations hôtes doivent adapter leurs procédures de sécurité pour inclure les fournisseurs, les partenaires et même les clients. En outre, pour sécuriser au maximum la chaîne d'approvisionnement ils doivent évaluer de près leur propre personnel, leurs processus et leur technologie.

Comment se produisent les brèches dans la chaîne d'approvisionnement

Une violation de la chaîne d'approvisionnement peut se produire de plusieurs façons. Un fabricant de logiciels peut être victime d'une violation par un logiciel malveillant qui modifie le code source, lequel est ensuite distribué aux entreprises qui utilisent le logiciel. Ce scénario exact s'est déroulé avec SolarWinds en 2020-2021.

Un autre vecteur de compromission courant pourrait être le vol des informations d'identification d'un fournisseur qui accorde un accès à distance à une entreprise avec laquelle il est partenaire ou dont il assure le support, ce qui conduit ensuite à l'infiltration du réseau de l'entreprise à partir d'une source déjà fiable (le réseau du fournisseur). À maintes reprises, nous avons vu des accès de confiance se retourner contre nous, qu'ils proviennent de fournisseurs, de partenaires ou d'autres tiers avec lesquels les organisations travaillent régulièrement.

Il est temps de mieux sécuriser nos réseaux et nos actifs face à des organisations qui, bien que dignes de confiance dans une certaine mesure, peuvent encore représenter un risque important pour nos organisations du simple fait qu'elles sont connectées ou qu'elles nous fournissent des logiciels ou des services. Mais comment ?

Une solution en deux étapes

1. Gestion des risques liés aux fournisseurs

Premièrement, nous avons besoin d'une gestion des risques plus efficace pour les fournisseurs et les prestataires de services que nous employons dans nos environnements ou que nous utilisons pour fournir des services professionnels (comme les fournisseurs de cloud computing, par exemple). La définition des fournisseurs et prestataires de services critiques (ainsi que des partenaires) est un point de départ, et nous devons ensuite évaluer soigneusement les types d'actifs et de données avec lesquels les organisations et solutions tierces interagiront.

2. Segmentation du réseau

Deuxièmement, nous devons mieux segmenter les réseaux et les points de connectivité pour tous les tiers associés afin de mieux prévenir l'intrusion d'attaquants et les mouvements latéraux. Certains scénarios d'accès à distance pour des associés "de confiance" permettent un accès presque total aux systèmes une fois que les connexions ont été correctement authentifiées. Tous les tiers ne devraient avoir accès qu'aux ressources dont ils ont besoin, selon la philosophie classique du "besoin de savoir". Les segments de réseau (VLAN ou sous-réseaux) doivent être configurés en fonction des types de données et des modèles d'accès, avec des contrôles appropriés tels que des pare-feu et des détecteurs d'intrusion pour contrôler tout le trafic entrant et sortant de l'environnement.