Jérôme Pouponnot
Selon le rapport sur la sécurité 2022, les attaques de la chaîne d’approvisionnement ont connu une augmentation spectaculaire de 650 % par rapport à l’année précédente en 2021. Un secteur qui doit désormais mieux se préparer et mieux contrôler les accès. Explications avec Tommy Vayron, RSSI chez KBRW.
Comment expliquez-vous cette croissance des attaques sur les chaînes d’approvisionnement ?
D’une part, parce que les volumes de données qui transitent sur les chaines d’approvisionnement sont de plus en plus importants. Ce qui est susceptible bien-sûr d’attirer une masse plus importante de cyber-criminels en recherche d’informations qu’ils pourraient obtenir et revendre dans un second temps.
Par ailleurs, historiquement moins attaqué, le secteur de la supply chain avait pour habitude de négliger la sécurité utilisant des logiciels “legacy” dont les mises à jour tardaient à être effectuées. Dans le même temps, les équipes liées à la sécurité sont moins importantes que dans d’autres secteurs d’activités, avec pour conséquence de laisser “trainer” des failles en mesure d’être exploitées par les pirates informatiques.
Quelles sont les “parades” qui existent pour protéger les entrepôts logistiques ?
Ça peut paraître comme une évidence, mais il est absolument nécessaire de sécuriser les logiciels. Il faut penser à la manière dont les logiciels sont utilisés via une gestion des droits adéquats, mais qui est trop souvent galvaudée. Pour cela la documentation doit être à jour et communiquée aux personnes utilisatrices des logiciels. Si la gestion des droits est mal organisée ou mal expliquée, il est très facile malheureusement d’arriver à une situation où un entrepôt entier dispose des droits… augmentant le risque potentiel d’intrusion. Détection, documentation et sensibilisation doivent être effectuées en permanence.
Faire également de la veille pour voir les failles qui sont exploitées afin de les patcher au plus vite. Ne pas sous-estimer le rôle des audits internes/externes à fréquences régulières, que ce soit en lecture de codes, ou en simulation d’attaque, afin de s’assurer qu’une personne motivée à entrer dans le système, ne puisse pas le faire. Et si elle arrive à entrer, il faut au moins que l’entreprise puisse avoir l’information sur cette intrusion.
Ne pas négliger non plus l’importance des redondances de ses systèmes et de ses backups et ce, à plusieurs endroits via différents hébergeurs si possible.
Enfin, ne pas hésiter à choisir des prestataires spécialisés ayant été certifiés. À ce titre, nous avons été certifiés ISO 27001 depuis 2022 ce qui permet de disposer de process en mesure de répondre à des événements critiques tout en sachant accompagner les entreprises.
Comment doit-on réagir en cas d'attaque ?
Une fois que l’intrusion a été détectée, il est nécessaire de mettre une équipe dédiée via un call meet par exemple. En parallèle il faut créer un canal de discussion dédié à l’incident avec toutes les personnes impliquées. Dans le même temps, il faut alerter l’ensemble du personnel de l’entreprise et tenter de récupérer tous les profils utiles à la situation de crise. Se pose également la question sur des profils externes à mettre dans la boucle en essayant d’impliquer des profils de clients à l’équipe. Ensuite, en analysant les logs afin d’évaluer la situation intrusive et faire un constat sur les dégâts provoqués, arrive la phase où on apporte les corrections via des patchs pour éviter la propagation du problème.
Ne pas oublier non plus, la possibilité d’avoir besoin d'effectuer des tâches à long terme (réorganisation, changements d'outils ou de process, etc.) avec un suivi précis des opérations.
Sur le même sujet :
Sécurité en entrepôt : LOG’S vise le zéro défaut
Stock de sécurité : les différentes manières de le déterminer
