Supply chain : Point d’entrée d’attaque des infrastructures critiques et systèmes.

Les chaînes d'approvisionnement sont une cible de choix pour les cyberattaques car elles constituent un point d'entrée unique potentiel vers des organisations, systèmes, et infrastructures critiques. Tous les secteurs d’activités critiques sont concernés et le cloud computing n’échappe pas à la règle. Il est important que toutes les entreprises définissent des exigences strictes pour leurs fournisseurs sur la base du profil de risque de leur métier et de la réglementation, mais aussi qu'ils vérifient la mise en œuvre effective de ces exigences.

Seulement la moitié (53 %) des professionnels travaillant dans le domaine des infrastructures critiques sont convaincus que leur organisation dispose d'une visibilité totale des vulnérabilités auxquelles leur chaîne d'approvisionnement expose leur entreprise, selon une récente étude de DNV Cyber, menée auprès de plus de 1 150 professionnels des secteurs des infrastructures critiques, notamment l'énergie, le transport maritime, l'industrie manufacturière et les soins de santé.

Cette situation augmente le risque de cyber-attaques par le biais de réseaux, de composants, de logiciels et de fournisseurs de services tiers connectés.

Plus d'un tiers (36 %) des entreprises pensent que des cyber attaquants ont pu infiltrer leur chaîne d'approvisionnement sans que les fournisseurs ne le signalent.

La supply chain constitue un point d'entrée unique d'attaque potentielle vers de multiples organisations et systèmes, y compris vers des infrastructures critiques et devient une cible de choix pour les attaquants qui changent constamment d'approches et développent des tactiques toujours plus sophistiquées.

De récentes cyber attaques nous montrent à quel point les chaînes d'approvisionnement sont vulnérables.

Dans le domaine de la santé, en 2024, une attaque contre l'un des plus grands fournisseurs de soins de santé du Royaume-Uni, Guy's and St Thomas' NHS Foundation Trust a visé un fournisseur de services de pathologie.

En 2023, la cyber attaque du CHU de Rennes est consécutive à la faille d'un tiers, éditeur de logiciel métier, dans le cadre d'une maintenance applicative.

La même année, une faille dans le programme de transfert de fichiers MOVEit a entraîné le vol de données de milliers d'organisations dans le monde, y compris dans des secteurs d'infrastructure critiques tels que l'énergie et les soins de santé.

Les fournisseurs peuvent jouer un rôle déterminant dans le renforcement de la sécurité et il est important que les propriétaires "d'actifs critiques" définissent des exigences pour leurs fournisseurs, sur la base du profil de risque de leurs entreprises et de la réglementation, mais aussi qu'ils vérifient la mise en œuvre effective de ces exigences.

La coopération tout au long de la chaîne d'approvisionnement est cruciale, y compris le partage d'informations sur les vulnérabilités et les incidents.

Règlementation et risques en matière de supply chain

Le renforcement de la réglementation est une réponse efficace aux menaces qui pèsent sur les chaînes d'approvisionnement, mais elle n'est pas suffisante.

Par exemple, la directive européenne sur les réseaux et les systèmes d'information (NIS2) traite des risques liés aux chaînes d'approvisionnement et aux relations avec les fournisseurs.

La loi européenne sur la cyber-résilience (CRA) exige que les fournisseurs de produits et services contenant un élément intelligent (y compris les produits IoT industriels) respectent des normes de cyber sécurité renforcées.

La règlementation industrielle est également très importante.

Dans le secteur maritime, l’Association Internationale des Sociétés de Classification (IACS UR-E26 et UR-E27) a fixé des exigences obligatoires en matière de cyber sécurité pour les nouveaux navires engagés après le 1er juillet 2024, ainsi que pour les systèmes et équipements embarqués.

La collaboration pour renforcer la cyber sécurité

Les exemples de collaboration incluent des efforts conjoints tels que le développement des normes IEC 62443 qui traitent de la sécurité des technologies opérationnelles dans les systèmes de contrôle industriels et la création de pratiques recommandées pour la cyber-résilience dans les secteurs maritime et énergétique.

Un autre exemple est l'initiative d'un projet industriel commun pour faire face aux cyber menaces dans le secteur de l'éolien en mer, qui a été lancé par DNV et Siemens Energy afin d'établir des pratiques communes. Des entreprises de toute la chaîne d'approvisionnement se sont engagées à participer à ce projet.

Dans le domaine de l’aviation, la supply chain évolue aussi en permanence et les risques aussi.

Chez Airbus, 80% des activités sont externalisées. L’industriel travaille avec plus de 12000 fournisseurs dans plus de 200 pays. Le programme collaboratif AirCyber, développé par BoostAeroSpace (Airbus, Dassault, Safran et Thales) est né afin d’assurer la sécurisation de la supply chain aéronautique en instaurant une « démarche cybersécurité".

Le programme AirCyber présente une matrice de risque efficace pour comprendre le degré de risque qui pèse sur une entreprise de la supply chain aéronautique.

Avec ses trois certifications (Gold, Silver et Bronze), ce programme pousse à la sécurisation de la chaîne d’approvisionnement par la montée en résilience de toutes les entreprises qui la constituent.

Le « référentiel commun progressif » qu’il offre profite à toutes les entreprises impliquées. Il permet aux donneurs d’ordre finaux d’obtenir des gages de sécurité face à toutes les menaces auxquels ils doivent faire face en provenance de leur chaîne d’approvisionnement.

Le cloud computing expose aussi à de risques majeurs issus de la supply chain

Même si le domaine du cloud computing demeure celui ou la règlementation est la plus active en matière de gestion de la sécurité (ISO 27001, SecNumCloud), seule la directive NIS2 prend en compte la gestion des risques liée à la supply chain, via la mise en place de contrôle de sécurité incluant audit et exigences contractuelles.

Les attaquants peuvent s'infiltrer dans les systèmes sur site, hybrides, et ensuite passer à l'environnement public Cloud. Plus alarmant encore, une fois dans cloud, ils peuvent potentiellement compromettre 93 % des actifs critiques en seulement deux sauts.

Les attaquants peuvent aussi passer par le maillon le plus faible de la chaîne (fournisseurs de services tiers connectés, hébergeurs) et augmenter ainsi leurs surfaces d’attaques.

Les PME moins bien protégées

Les petites et moyennes entreprises (PME, 20-249 employés) et très petites entreprises (TPE, 0-19 salariés) sont naturellement moins bien équipées que les grands groupes pour faire face aux menaces cyber dû à leurs plus petites tailles alors qu’elles même qu'elles constituent la majorité de chaîne d'approvisionnement dans de nombreux secteurs critiques. Cela présente pour de nombreuses filières un point faible dans leurs dispositifs respectifs de cybersécurité.

En effet, une fuite de données sensibles chez un fournisseur peut impliquer de façon mineure ou majeure des conséquences sur d’autres fournisseurs de la chaîne d’approvisionnement.

Pour renforcer la sécurité de la chaîne d'approvisionnement, les entreprises devraient mieux prendre en compte les exigences en matière de cyber sécurité dans les contrats d'achat et les contrats qu'elles passent avec leurs fournisseurs.

Il est important de disposer de bonnes pratiques pour chaque secteur industriel, y compris dans le domaine du cloud computing, pratiques qui indiquent clairement ce que l'on attend de toutes les parties de la chaîne d'approvisionnement.

Pour réduire les risques liés aux attaques de la supply chain cloud, B2CLOUD, spécialiste de l'évaluation de la supply chain cloud, a développé avec Cloud 360 une matrice d’analyse qui évalue la posture cyber de la chaîne d'approvisionnement.