Risques informatiques : attention aux attaques indirectes !
Les attaques indirectes, aussi appelées attaques par rebond, consistent à atteindre le système d’information d’une entreprise en passant par celui d’un tiers, moins bien sécurisé. Un type d’attaque en pleine croissance. Comment s’en protéger ?
Dans son rapport de 2019 analysant l’évolution des risques numériques au cours de l’année 2018, l’ANSSI (Agence nationale de la sécurité des systèmes d’Information) mettait en garde les entreprises contre cinq fléaux, dont celui des attaques indirectes.
« Les attaquants exploitent de plus en plus les relations de confiance établies entre partenaires pour accéder aux informations qu’ils convoitent », expliquait alors Guillaume Poupard, directeur général de l’ANSSI.
Plutôt que de s’attaquer directement à une entreprise, dont les actifs stratégiques sont en général bien protégés, les cybercriminels ciblent un intermédiaire connecté au système d’information (SI) de l’entreprise. Ce peut être un fournisseur, un partenaire, un client ou encore un prestataire de services, comme une société d’infogérance.
Prendre conscience du problème
Le numérique est de plus en plus présent au sein des entreprises, avec des systèmes d’information de bout en bout, capables de garantir une continuité numérique sur l’ensemble de la ‘supply chain’. Cette continuité numérique tend aujourd’hui à sortir des murs de l’organisation. Pour faciliter les commandes, les grossistes ouvrent ainsi des points d’entrée dans leur SI à destination des acheteurs. Si votre activité est orientée entreprises (B2B), vous serez appelé à faire de même vis-à-vis de vos propres clients. Lorsque le SI de ces fournisseurs ou clients est compromis, les pirates pourront s’en servir comme porte d’entrée pour vous atteindre.
Autre risque, celui lié aux prestataires auxquels vous allez confier la gestion de votre SI. Ils disposent souvent d’accès avancés à vos serveurs, parfois même depuis l’extérieur, afin de faciliter la prise de contrôle à distance, en cas d’urgence. Notez enfin qu’il ne faudra pas oublier les éditeurs de logiciels et les fournisseurs de services cloud.
Comment parer les attaques indirectes ?
Les attaques indirectes sont un risque. Et comme avec tout risque, plusieurs réponses sont possibles : le traiter, en limitant les accès au SI et en sécurisant tous les points d’entrée ; le transférer, en vous assurant que le SI de vos partenaires est suffisamment protégé ; l’accepter – un choix dangereux.
Avant de songer à une parade, il faut déjà évaluer le risque en recensant l’ensemble des tiers disposant d’accès directs ou indirects à votre SI. La réponse à appliquer dépendra alors du type de partenaire. Difficile de fermer les accès accordés à une société d’infogérance. Il est préférable ici de transférer le risque en contractualisant les obligations du prestataire en matière de sécurité.
Lorsqu’il s’agit d’un client, le plus simple reste de traiter le risque, en protégeant efficacement les points d’entrée du SI. Le cas d’un fournisseur ou d’un grossiste peut-être plus épineux. Ce dernier peut en effet exiger d’accéder assez largement à certains pans de votre SI. S’il s’agit d’un fournisseur stratégique, il ne vous restera comme possibilité que d’accepter le risque… en attendant de trouver une solution. Par exemple, un partenaire plus conciliant…
Qui doit se charger de cette tâche ?
Un nouveau métier apparaît, celui de gestionnaire des tiers. Un profil aux compétences multiples (sécurité informatique, gestion des risques, conformité…), qui aura pour tâche de recenser les tiers, d’évaluer les risques qu’ils font peser sur l’organisation, de s’assurer qu’ils sont pris en compte et de suivre dans le temps l’évolution de ces risques (les relations avec les fournisseurs, prestataires et clients pouvant changer).
Il pourra également se charger d’autres dossiers, comme la fuite de données personnelles, sanctionnée par le règlement RGPD et nécessitant là aussi un suivi strict des fournisseurs et prestataires.
Illustration possible : https://pxhere.com/fr/photo/1356832
David FEUGEY