Se préparer aux cyberattaques de tiers dans le sillage du conflit Russie-Ukraine

Note de l'éditeur : Cet article a été initialement publié sur www.scmagazine.com.

L'invasion de l'Ukraine par la Russie a suscité une réponse unifiée de l'OTAN, de l'UE et des Nations unies, les pays membres imposant des sanctions sévères à la Russie en guise de punition. Étant donné que certaines des cyberattaques de tiers les plus graves - comme celles de SolarWinds, Colonial Pipeline et JBS Foods - ont été attribuées à la Russie, le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont averti les entreprises et les gouvernements de rester vigilants face à d'éventuelles attaques par ransomware provenant de Russie en représailles à l'imposition de ces sanctions.

Comment les professionnels de la gestion des risques liés aux tiers doivent-ils réagir ? Voici cinq mesures à prendre immédiatement :

1. Inventorier tous les fournisseurs

Commencez par vous assurer que l'organisation dispose d'une visibilité centralisée sur tous les fournisseurs, car des fournisseurs malhonnêtes non gérés peuvent présenter des risques cachés pour l'organisation. Les plates-formes tierces de gestion des risques permettent d'automatiser l'intégration des fournisseurs, réduisant ainsi le temps et les efforts nécessaires à leur gestion. Ensuite, pendant le processus d'intégration, les fonctions de notation des risques inhérents peuvent aider à déterminer comment évaluer les fournisseurs sur une base continue en fonction des risques qu'ils représentent pour l'entreprise.

2. Établir un profil complet pour chaque fournisseur

Dans le cadre du processus d'inventaire, établissez un profil complet pour chaque fournisseur, comprenant des informations sur le secteur et l'activité, des données démographiques, des relations technologiques avec des tiers, des scores d'indice de perception de la corruption (IPC) et d'autres informations importantes. Cela permettra de repérer les fournisseurs potentiellement exposés à des risques géopolitiques. Au lieu de s'appuyer sur plusieurs outils non intégrés pour recueillir ces informations, recherchez des solutions de surveillance uniques qui construisent automatiquement cette base de données pour l'organisation.

3. Identifier le risque de concentration technologique

L'une des leçons durables de la violation de SolarWinds est que les entreprises auraient dû savoir quels étaient leurs fournisseurs ou vendeurs qui utilisaient la technologie afin de mieux comprendre leurs propres surfaces d'attaque tierces. Dans le cadre du processus de profilage de l'étape 2, exploitez la collection de technologies tierces déployées dans l'écosystème des fournisseurs de l'entreprise pour déterminer lesquelles seraient potentiellement exposées à une brèche ciblée. L'identification des relations entre l'entreprise et les tiers sur la base de l'utilisation des technologies aidera l'équipe à découvrir les dépendances et à visualiser les voies d'attaque dans l'entreprise.

4. Évaluer de manière proactive les plans de résilience et de continuité des activités des fournisseurs.

N'attendez pas une cyberattaque pour déterminer les plans de résilience commerciale des fournisseurs. Au lieu de cela, engagez proactivement les fournisseurs dès maintenant avec des évaluations simples et ciblées qui s'alignent sur les normes de sécurité de la chaîne d'approvisionnement connues du secteur, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations aideront à cibler les mesures correctives nécessaires pour combler les lacunes potentielles en matière de sécurité, par exemple dans la gestion du cycle de vie du développement logiciel - une faiblesse fréquemment citée dans les violations de la chaîne logistique logicielle. Les bonnes solutions offriront des recommandations intégrées pour accélérer le processus de remédiation et combler plus rapidement ces lacunes.

5. Surveiller en permanence les cyberattaques potentielles

Commencez par gérer les fournisseurs de manière centralisée, comprendre le risque de concentration et être plus proactif dans l'évaluation des plans de résilience des fournisseurs. Cependant, restez continuellement vigilant à la prochaine attaque. Recherchez les signaux d'un incident de sécurité imminent en surveillant l'internet et le dark web pour trouver les menaces et les vulnérabilités cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources typiques d'intelligence tierce incluent :

• Cyber: Forums criminels, pages oignons, forums d'accès spéciaux sur le dark web, flux de menaces, sites de collage d'informations d'identification ayant fait l'objet d'une fuite, communautés de sécurité, dépôts de code et bases de données de vulnérabilités et de piratages.
• Affaires : Activité de fusions et acquisitions, actualités commerciales, actualités négatives, informations réglementaires et juridiques, mises à jour opérationnelles.
• Financier : Chiffre d'affaires, bénéfices et pertes, fonds des actionnaires.
• Réputation : Listes de sanctions mondiales (OFAC, UE, Royaume-Uni) et listes d'entreprises publiques de pays sanctionnés.

Comme à l'étape 2, surveillez ces sources séparément ou recherchez des produits qui regroupent toutes les informations en une seule solution, de sorte que tous les risques soient centralisés et visibles pour l'entreprise.

De nombreuses organisations ont du mal à obtenir en temps utile des informations sur les incidents de sécurité ayant un impact sur leur chaîne d'approvisionnement. Les délais entre l'incident d'un fournisseur et l'identification, l'analyse et l'atténuation des risques par l'entreprise elle-même exposent l'organisation à des perturbations opérationnelles. Les cinq étapes que nous décrivons ici sont les meilleures pratiques pour la plupart des situations, mais elles sont de plus en plus importantes alors que la crise entre la Russie et l'Ukraine s'éternise et que les menaces de cyberattaques augmentent.

Brad Hibbert, COO et CSO, Prevalent