Supply Chain: porte d’accès pour les cybercriminels

Les logiciels aussi font partie de la Supply Chain. Les applications englobent souvent diverses composantes provenant de différents fabricants. Il arrive que ces composantes présentent des failles, qui peuvent être exploitées comme des portes d’accès. Ce risque peut être réduit grâce à une sensibilisation appropriée.

Imaginez que vous êtes à la tête d’une entreprise spécialisée dans la production de charcuterie fumée. Votre viande provient d’une ferme dont vous connaissez personnellement les propriétaires. Vous avez vu les animaux sur place et savez comment ils sont traités et nourris.

Vos clients apprécient cette relation de confiance, que vous entretenez non seulement avec vos fournisseurs, mais aussi, depuis plusieurs années, avec votre clientèle. Vos produits ont le goût de la qualité.

Poussons notre réflexion un peu plus loin, dans le monde numérique. Imaginez que vous gérez une boutique en ligne pour votre entreprise. Au lieu de créer votre site vous-même de A à Z, vous vous appuyez sur un logiciel existant. Le marché regorge de ce type de produits, de l’open source aux solutions sur mesure onéreuses. Il est fort probable que vous ayez simplement opté pour le logiciel exploité par votre hébergeur.

La question qui se pose est la suivante: connaissez-vous votre partenaire logiciel aussi bien que vos fournisseurs de viande séchée? Savez-vous sur quelles technologies repose votre boutique en ligne? Quelles composantes sont utilisées? Par qui les composantes tierces ont-elles été développées? Quel est le degré de sécurité de ces bibliothèques et si les versions utilisées dans votre boutique font l’objet de maintenances et de mises à jour? Si ce n’est pas le cas, savez-vous pourquoi?

Connaissez-vous votre boutique en ligne?

Il serait idéal que vous connaissiez votre boutique en ligne aussi bien que vos fournisseurs de viande, car les composantes de celle-ci font aussi partie de votre Supply Chain et constituent donc une cible de choix pour les cybercriminels. Les attaques via la Supply Chain ne sont pas une nouveauté. Des attaques réussies ont été documentées depuis un certain temps déjà, allant de composantes (relativement) anodines qui minent des bitcoins sur les serveurs concernés à des attaques plus graves ciblant les prestataires de services de paiement et forçant les entreprises à fermer temporairement leurs locaux. Les attaques via la Supply Chain semblent être juteuses, car elles ont le vent en poupe.

Ainsi, la question n’est pas de savoir «si» l’on va faire l’objet d’une attaque réussie, mais plutôt «quand». Il est donc essentiel de se préparer à un tel incident. Pour cela, vous devez notamment connaître votre Supply Chain et les composantes qui constituent votre boutique en ligne. D’une part, cela vous permettra de savoir quel logiciel vous utilisez et qui l’a développé et donc, d’estimer le risque encouru en cas de faille ou d’attaque. D’autre part, vous pourrez former votre propre opinion sur votre prestataire informatique et, idéalement, tisser un lien avec lui au fil du temps, un contact sur lequel vous appuyer en cas de besoin.

Profitez-en également pour chercher un partenaire en matière de sécurité, apprendre à le connaître et établir une relation de confiance avec lui. Il vous sera d’un précieux soutien en cas d’incident.

En raison de la situation actuelle, Connecta Berne aura lieu à nouveau sous forme virtuelle en 2021. La diversité du numérique mise en exergue par Connecta transparaîtra non seulement sur le Connecta Blog, mais aussi à travers les formats Connecta TV et Connecta Talk. En savoir plus: www.post.ch/connecta.