Cyberattaques & fournisseurs : le cheval de Troie des attaquants ?

Que peuvent nous apprendre les récentes attaques de Kaseya ou de Solarwinds ?

Des attaque cyber dans lesquelles des éditeurs de logiciel ont été compromis non pas pour les atteindre eux-mêmes, mais pour cibler leurs clients.

D’abord qu’il existe bel et bien deux niveaux d’attaque cyber aujourd’hui. Si l’actualité est monopolisée par les attaques de type ransomware, force est de constater que celles-ci sont rarement très avancées techniquement, et qu’elles reposent plutôt sur des vulnérabilités connues et tirent parti de mauvaises pratiques de la part des victimes.

Plutôt que de réagir une fois l’impact de l’attaque découvert… mieux vaut être en capacité de détecter les comportements suspects

Tandis que les opérations d’espionnage sont conduites par des équipes motivées qui n’hésitent pas à dérouler leur attaque sur plusieurs mois jusqu’à arriver à leurs fins. « Des opérations comme celles de Kaseya et SolarWinds démontrent qu’il n’est pas toujours possible de contrer de telles attaques, et que face à de tels adversaire il vaut mieux se mettre en capacité de détecter les activités suspectes et d’y répondre immédiatement, sans laisser le temps à l’attaquant de dérouler son playbook » explique Julien Billochon, Cybereason.

La capacité de détection des anomalies est vitale face à de tels acteurs malveillants, car ils n’utilisent pas ou peu d’outils ou de codes aisément repérables. Leurs traces seront plutôt liées à des signaux faibles, une suite de petits incidents ou d’actions anormales mais bénignes. « Les RSSI doivent être conscients de ce type d’attaque et de la difficulté à les contrer. Ils devraient suivre l’approche « assume breach ». C’’est-à-dire partir du principe que tout et tout le monde peut être compromis à tout moment. Une fois cet état de fait accepté, ils pourront commencer réduire l’impact et les dégâts d’une attaque de ce type réussie. Notamment en améliorant la capacité de détection des activités anormales des applications ou des technologies dont ils dépendent et qui pourraient se retourner contre eux », conseille Jérôme Soyer, Varonis.

Enfin, au-delà de ces exemples, les entreprises devraient mettre en œuvre de vrais programmes de suivi du niveau de sécurité de leurs fournisseurs ou de leurs sous-traitants les plus critiques (notamment ceux qui disposent d’un accès ou d’une interconnexion forte avec leurs propres systèmes). Une première approche de type déclaratif peut être suffisant pour amorcer le programme, mais il faudra à terme aller plus loin, notamment en cas d’incident chez les fournisseurs : « Il est important d’être informé rapidement des incidents de sécurité qui peuvent se produire chez les fournisseurs et les sous-traitants, et de prendre connaissance des techniques utilisées par l’attaquant, du mode opératoire et bien entendu des indicateurs de compromission. En centralisant toutes ces informations au sein d’une plateforme unique de partage de l’information, le donneur d’ordre sera en mesure de croiser des indicateurs ou des modes opératoires et, peut-être, identifier une opération dirigée contre lui-même menée par un acteur identique contre plusieurs de ses partenaires », explique Cyrille Badeau, ThreatQuotient.

Julien Billochon, Cybereason : « Nous devons passer d’une réponse réactive aux attaques à une posture d’anticipation par l’identification des comportements suspects dès les premiers stades de l’opération malveillante. Il faut s’intéresser aux débuts de l’attaque »

Jérôme Soyer, Varonis : « La chaîne d’approvisionnement de l’entreprise représente une surface d’attaque énorme, qui expose de nombreux points d’entrée : la vulnérabilité du produit lui-même, mais aussi toute l’infrastructure du fournisseur, le processus CI/CD pour les applications SaaS et en bout de chaîne, le prestataire qui distribue et gère la technologie chez ses clients »

Cyrille Badeau, ThreatQuotient : « De multiples petits incidents chez plusieurs fournisseurs peuvent être le signe d’une attaque coordonnée contre le donneur d’ordre. Il est important de centraliser et d’enrichir ces informations afin qu’une équipe d’analystes cyber puisse travailler de concert sur ces différentes alertes en apparence distinctes »

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.