Il y a eu en fait plus de 200 attaques commises sur la chaîne d’approvisionnement au cours de la dernière décennie. Certains de ces projets ont eu un impact sur d’innombrables réseaux de fournisseurs et d’innombrables clients : SolarWinds, Kaseya et la récente débâcle de Log4j vous sont venus à l’esprit.
Mais étant donné la façon dont le travail distribué a fini par être, Considérant spécifiquement que le début de la pandémie de Covid-19, qu’est-ce qui ne fait pas exactement partie de la « chaîne d’approvisionnement » maintenant ? De même, quel environnement de travail n’est pas constitué d’éléments de « travail à distance », même s’il se fait dans un box au 30e étage d’un gratte-ciel ?
La dépendance à l’égard des plates-formes hébergées dans le cloud, des services d’authentification plus faibles et des outils publics est devenue endémique, et il n’y a plus moyen de revenir en arrière. L’environnement épais dans lequel nous nous découvrons – où tout se mélange à tout et où les entreprises ont rarement plus d’un degré de séparation les unes des autres – ne fera que se densifier.
Certes, les fournisseurs sur lesquels vous comptez pour la majorité doivent se démarquer des autres lorsqu’il s’agit de penser à la sécurité de votre entreprise. Si la chaîne d’approvisionnement est tout ce qui vous offre potentiellement une chance de passer à une autre cible, à peu près tout, y compris vous, fait partie de la chaîne d’approvisionnement. Et pour un agresseur, tous les points faibles car la chaîne ressemble à la même chose : l’opportunité.
Le coût d’être plus productif
Alors que les ennemis sont motivés par l’opportunité, les entreprises doivent faire face avec le brouillage des lignes claires qui constituaient autrefois le fondement de la cybersécurité pour un facteur associé : l’efficacité.
De plus en plus d’organisations utilisent GitHub pour leur pipeline de code. Cela est vrai même lorsque des options internes comme GitLab sont proposées, car GitHub est un moyen plus pratique pour les concepteurs de soumettre et de gérer du code.
Les professionnels de l’informatique savent qu’il est possible de verrouiller un outil public, mais personne ne le fera soutiennent qu’il est sécurisé par défaut. En fait, le contraire est vrai. Et une application logicielle comme GitHub présente une gamme d’ouvertures pour ceux qui cherchent à vous faire du mal, à vous et à votre entreprise.
Les attaquants jettent un coup d’œil à GitHub et peuvent ne pas voir un serveur qui sera leur véritable vecteur d’attaque et même là où ils découvrent un moyen d’implanter la porte dérobée. Il s’agit d’une source d’informations cruciale pour les informations d’identification de concepteur codées en dur, d’informations cruciales sur les opérations internes d’un plan logiciel, etc. Cette vue pourrait fournir à une star du danger des informations avancées à la fois sur la façon de construire une porte dérobée fiable et sur l’endroit où elle pourrait être insérée pour un accès simple et fiable sans être trouvée.
GitHub offre également aux attaquants des listes de concepteurs qui ont accès à un référentiel. Cette liste se double d’un ensemble idéal d’objectifs à atteindre dès qu’une emprise sur le réseau de l’entreprise est effectivement atteinte. Désormais, avec un ordinateur portable piraté composé d’une connexion GitHub, tout un référentiel de code – et par extension sa société hôte – peut être compromis.
De même, l’explosion des « bring your own » officiels ou informels les politiques d’appareils », ainsi que les concepteurs se connectant à des services rapidement accessibles à partir de leurs propres gadgets, élargissent considérablement la surface d’attaque de votre entreprise, car cela élimine la segmentation vitale qui agit comme une défense pour les services internes.
Croyez comme un agresseur et ensuite comme un cadre de niveau C
Avec des services comme GitHub, AWS et d’autres formant un réseau complexe de dangers de la chaîne d’approvisionnement, il peut être incroyablement difficile de communiquer ces dangers de manière concise aux décideurs de votre organisme. C’est pourquoi l’interaction est cruciale lorsqu’il s’agit de discuter d’un sujet qui fait constamment l’actualité, comme les attaques de la chaîne d’approvisionnement. Lorsque vous ne disposez que de quelques minutes pour vendre votre message de sécurité, une communication succincte – une histoire qui va à l’essentiel – est essentielle.
Les spécialistes de la sécurité apprécient souvent les détails de leur tâche, même lorsque leur public ne les apprécie pas. L’obstacle est d’établir le contexte et le besoin d’investissement financier dans la sécurité tout en les liant aux objectifs de l’entreprise plutôt que d’effrayer les maux de tête auxquels personne ne veut penser.
Se concentrer sur les plus grandes entreprises génératrices de revenus et les éléments les plus générateurs de revenus attireront naturellement l’attention de ceux qui siègent au niveau C. Cela crée l’opportunité de vérifier les risques qui pourraient atterrir dans ces sphères et comment y faire face sans sacrifier une productivité excessive.
Ce qui est important à comprendre dans la chaîne d’approvisionnement, ce sont les composants que vous gérez, où les embouteillages sont, et où vous pouvez introduire des mesures d’atténuation essentielles pour empêcher qu’un petit défaut ne se transforme en compromis complet du domaine. Il est également important d’éduquer les cadres sur la taille et l’amorphe de la chaîne d’approvisionnement, car les agresseurs en sont bien conscients.
Si votre entreprise utilise Microsoft Teams, par exemple, tous les membres de votre organigramme le comprendront probablement. . Néanmoins, ils peuvent ne pas comprendre que Microsoft, l’hébergeur de ce service cloud répandu, fait désormais partie de votre chaîne d’approvisionnement. Désormais, toute menace potentielle pour l’une des plus grandes entreprises de logiciels au monde qui fait des affaires dans de nombreux pays du monde est une menace potentielle pour vous.
Nous sommes tous dans le même bateau, pour le meilleur ou pour le pire
Penser à la chaîne d’approvisionnement n’est probablement pas une quête spirituelle. Contempler la sécurité, en particulier la sécurité des détails, du point de vue de l’agresseur peut développer une sensation d’unité.
Du point de vue de ceux qui gagnent leur vie en attaquant nos services, vous pouvez voir que chaque entreprise avec laquelle nous travaillons et chaque outil que nous utilisons est un point faible potentiel de notre sécurité. Ainsi, les entreprises privées ne peuvent pas prendre de décisions de danger sans affecter chaque organisation en amont et en aval de la vôtre. Néanmoins, la portée de ces décisions peut souvent développer un profil de danger incroyablement large, donc comprendre vos fournisseurs cruciaux et ceux que vous fournissez est souvent votre étape la plus importante vers une sécurité efficace de la chaîne d’approvisionnement.
Cette prise de conscience n’est pas susceptibles de récompenser quiconque avec la paix intérieure. Reconnaître que les récompenses de l’efficacité viennent avec la menace de l’interdépendance est une étape clé pour réduire les opportunités des attaquants avant qu’ils ne nous submergent.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
