securite de la supply chain
Produits et Services PRODUITS & SERVICES

Protégez votre supply chain contre les risques tiers

La sécurité de la supply chain devient une préoccupation de plus en plus pressante pour de nombreuses entreprises, mais c'est un problème très complexe à aborder.

Il existe deux méthodes principales pour répondre à ces préoccupations. La première consiste à tenter d’évaluer la cybersécurité de vos fournisseurs et partenaires commerciaux; l’autre consiste à identifier les interactions à haut risque et à mettre en place des contrôles compensatoires.

Évaluation de la posture de sécurité

Déterminer à quel point un fournisseur prend sa sécurité au sérieux peut être difficile, mais nécessaire. La première étape consiste à déterminer le niveau de risque qu’il présente, ce qui vous aidera à déterminer l’ampleur de la tâche en termes d’efforts à déployer.

S’il ne dispose pas d’un accès à distance à votre réseau ou ne traite pas de données sensibles, vous pouvez le considérer comme présentant un risque minimal. À l’inverse, les personnes à qui vous confiez l’accès, la gestion ou le traitement des données en votre nom nécessitent un examen plus approfondi.

Il existe de nombreuses méthodes pour effectuer une évaluation, mais une approche répandue pour les fournisseurs de services majeurs, les opérateurs Cloud et les processeurs de paiement consiste à déterminer à quels types de certifications et d’audits ils sont soumis.

Par exemple, un processeur de paiement devra respecter la norme PCI DSS. S’ils sont soumis à la norme PCI DSS niveau 1 ou 2, vous devez demander leur RoC (Report on Compliance/rapport de conformité) émis par leur QSA/ISA. Vous devez revoir ces RoC sur une base trimestrielle pour vous assurer qu’ils répondent à vos attentes.

Une autre certification répandue pour confirmer les audits est SOC 2/2 +/3 pour vos fournisseurs de services Cloud. Les audits SOC évaluent les contrôles de sécurité et les mitigations couvrant les cinq “Principes du Service de Confiance” (Trust Service Principles) : protection de la vie privée, sécurité, disponibilité, intégrité du traitement et confidentialité.

Tout comme pour votre propre sécurité, la quantité d’audits n’est pas une garantie en soi, mais ils aident à éclairer les décisions d’achat et à mieux appréhender les personnes avec lesquelles vous interagissez. Vous pouvez également envisager ou demander des rapports de pentest, la conformité au RGPD ou la fréquence des failles ou des violations de données antérieures.

Ces considérations doivent être intégrées à votre processus de renouvellement de contrat et aux documents de demande de renseignements/de demande de devis (RFI/RFQ). Les grandes entreprises qui ont un processus d’intégration des fournisseurs devraient intégrer les exigences dans ce processus et les revoir périodiquement.

En plus des fournisseurs de services IT, mettez en place un contrôle supplémentaire au niveau de toute sous-traitance à laquelle vous avez recours concernant les ressources humaines, le juridique, la comptabilité et la fiscalité. Beaucoup de ces entreprises sous-traitent elles-mêmes pendant la saison haute, et elles pourraient présenter plus de risques que vous ne le pensez.

Utilisez une approche de gestion des risques

Très souvent, les entreprises victimes d’attaques de la supply chain, ont été prises pour cible grâce à un accès volé, mais autorisé. Les fournisseurs de services reçoivent trop souvent des identifiants avec les mêmes droits et privilèges que les employés internes.

Autrement dit, ils ne sont pas obligés d’utiliser l’authentification multifacteur, qui permet à la fois le vol d’identifiants via des attaques de phishing et la réutilisation non autorisée de ces derniers par leur personnel. Étant donné que la plupart des entreprises utilisent l’authentification unique (SSO), ces identifiants peuvent être utilisées de manière abusive pour accéder à toutes sortes de systèmes inutiles pour la tâche à accomplir. Cette possibilité augmente les risques provenant des insiders et des outsiders malveillants.

Une autre erreur consiste à fournir un accès large via un VPN distant, un RDP ou une autre technologie d’accès à distance à des tiers pour gérer les solutions. Par accès large, nous entendons un accès à l’ensemble du réseau au lieu de segmenter et de renforcer avec précaution les outils d’accès à distance nécessaires.

Tous les outils en contact avec l’extérieur doivent nécessiter une authentification multifacteur et doivent être limités à des hôtes ou des systèmes uniques. Lorsqu’un accès supplémentaire est souhaité, l’utilisation de “serveurs jump” est recommandée pour réduire les risques et offrir une possibilité supplémentaire de surveillance et de journalisation.

Un autre processus qui peut se terminer dans les larmes consiste à ajouter à la whitelist toutes les applications signées par le certificat de signature de logiciel d’un fournisseur. Nous avons vu à plusieurs reprises des certificats volés et utilisés abusivement pour signer des malwares. Les outils de sécurité doivent pouvoir inspecter un maximum d’éléments.

Lorsque vous effectuez vos propres évaluations de sécurité et tests de pénétration, collaborez avec vos fournisseurs pour vous assurer qu’ils soient bien intégrés à votre périmètre de test. Parfois, certains éléments peuvent être vérifiés indépendamment, mais des failles dans la façon dont ils interagissent peuvent être découvertes lorsqu’ils sont appréhendés sous la forme d’un système complet.

Surveillez les bulletins de sécurité de tous les fournisseurs pour pouvoir déployer rapidement des correctifs et des mitigations lorsque des vulnérabilités sont découvertes et gardez un œil sur l’actualité de vos fournisseurs. Lorsqu’une entreprise est en mode crise pour traiter un incident, il se peut que vous ne soyez pas en première position sur leur liste d’organisations à notifier. Une telle précaution peut vous permettre de verrouiller l’accès et de commencer à investiguer si vous êtes ou non affecté par leur situation.

Enfin, si vous avez une cyber-assurance, déterminez si elle couvre les pertes de tiers et vérifiez comment vous pouvez la faire marcher, si nécessaire. Travaillez avec vos fournisseurs pour vous assurer que votre couverture recoupe bien toute autre couverture nécessaire qu’ils pourraient avoir de leur côté.

La sécurité de la supply chain est l’un des domaines de sécurité les plus difficiles à évaluer. De nombreuses entreprises l’ignorent soit parce qu’elles ne savent pas par où commencer, soit parce qu’elles pensent qu’elles ne sont pas assez importantes pour être ciblées via la compromission d’un partenaire de confiance.

Le paysage des menaces a évolué et la compromission de la supply chain est un problème pour toutes les entreprises, grandes et petites. Nous sommes tous des cibles potentielles dans la supply chain d’un tiers, et il n’a jamais été aussi important de minimiser les risques liés à une telle exposition.

Billet inspiré de Securing your supply chain from third party risk, sur le Blog Sophos.