Notre solution - Les Oies du Cyber

Cybersécurité de la Supply Chain

Octobre 2023

La supply chain, avec son réseau complexe de fabricants, fournisseurs et prestataires de services, représente un aspect extrêmement vulnérable, exposé à des menaces de cybersécurité en rapide évolution. Ces vulnérabilités peuvent avoir des conséquences graves, y compris des risques pour la sécurité nationale, des fuites de données massives et la perturbation complète d’un secteur.

Pourtant, le débat autour de la sécurité de la supply chain est souvent limité aux défenses technologiques et néglige l’éventail de facteurs qui contribuent à une cybersécurité véritablement résiliente. Cet article vise à combler cette lacune. Nous avons l’intention de proposer une approche multidimensionnelle de la cybersécurité de la supply chain, qui ne se contente pas d’examiner le panorama technique, mais incorpore également des paradigmes centrés sur l’humain. En faisant cela, nous cherchons à fournir une solution complète qui conjugue avancées technologiques et ingéniosité humaine, considérations éthiques et modèles de pensée innovants.

Notre philosophie est que la véritable sécurité ne fonctionne pas en silo. Il s’agit du produit d’efforts intégrés qui prennent en compte non seulement la machine, mais aussi l’humain. Non seulement le nœud, mais aussi le réseau. Non seulement la politique, mais aussi la culture. Cet article sert à la fois de cadre pour comprendre les vulnérabilités existantes et de stratégie pour les organisations qui souhaitent intégrer la résilience à chaque couche de leur supply chain.

💡 L’anatomie des vulnérabilités de la Supply Chain

Un paysage des menaces en évolution

Traditionnellement, les mesures de cybersécurité se concentraient principalement sur le renforcement du périmètre : firewalls, systèmes de détection d’intrusion et autres solutions qui protégeaient la frontière numérique. Cependant, les attaquants se sont adaptés et ne se contentent plus d’attaques frontales. Au lieu de cela, ils exploitent les maillons les plus faibles, qui résident souvent au sein de la supply chain. Allant des mises à jour logicielles infestées de malware aux campagnes de spear-phishing ciblant les employés des fournisseurs, les techniques employées dans les attaques sur la supply chain sont devenues de plus en plus complexes et difficiles à détecter. Ces dernières années, des tactiques telles que le living-off-the-land (utilisation d’outils natifs pour mener des attaques), la stéganographie (dissimulation de code malveillant dans des fichiers légitimes) et l’ingénierie sociale (social engineering) ont montré que les attaquants ne cessent d’affiner leurs méthodes. Ces innovations contournent non seulement les mesures de sécurité traditionnelles, mais rendent également extrêmement difficile l’attribution des attaques, compliquant ainsi la complexité de l’élaboration de défenses efficaces.

🎯 Études de cas

2018 : Ticketmaster

En 2018, Ticketmaster UK a révélé une importante data breach affectant des dizaines de milliers d’utilisateurs. Les attaquants ont compromis un outil de chatbot fourni par Inbenta, un fournisseur de logiciels de service client tiers, ce qui a conduit à un accès non autorisé aux données des clients. Ce cas a mis en lumière les dangers des intégrations tierces, soulignant la nécessité d’examiner les protocoles de sécurité non seulement au sein de l’organisation mais aussi parmi ses fournisseurs.

2018 : Data Breach chez Airbus

En septembre 2018, Airbus a signalé une data breach. L’attaque visait apparemment les fournisseurs de l’entreprise, exploitant des vulnérabilités dans leurs VPN pour accéder sans autorisation aux systèmes d’Airbus. Bien qu’Airbus ait déclaré que l’attaque n’avait pas affecté ses opérations commerciales, des données sensibles relatives à ses employés ont été consultées. Cet incident souligne l’importance cruciale de vérifier et de sécuriser chaque maillon d’une supply chain complexe.

2018 : cyberattaque contre Altran Technologies

Altran Technologies, une société française de conseil en ingénierie, a été victime d’une cyberattaque en janvier 2018. Bien que les détails sur cette attaque soient rares, on suppose que les attaquants ont exploité une application tierce pour obtenir un accès initial. L’entreprise a dû fermer son réseau et ses applications informatiques pour atténuer l’attaque, entraînant des perturbations opérationnelles. L’incident illustre l’effet de cascade qu’un seul élément vulnérable peut avoir au sein d’une supply chain.

2019 : ASUS

L’attaque du serveur de mise à jour de logiciels d’ASUS en 2019 est un autre avertissement. Les attaquants ont compromis le serveur de l’entreprise pour les mises à jour de logiciels, envoyant du code malveillant à des milliers d’utilisateurs sous la forme d’une mise à jour légitime. La mise à jour contaminée, qui est restée non détectée pendant une période substantielle, a permis aux attaquants d’espionner des systèmes ciblés, exposant un large éventail de données sensibles.

2019 : attaque Ransomware contre Bouygues Construction

En janvier 2019, Bouygues Construction a subi une attaque avec ransomware qui a conduit à l’arrêt de son réseau informatique. Une enquête a révélé que les attaquants avaient initialement infiltré le réseau d’un fournisseur plus petit, qui avait des mesures de sécurité plus faibles, avant de se déplacer latéralement dans les systèmes de Bouygues. L’attaque a causé des perturbations importantes dans les projets de construction en cours et a nécessité une révision complète de la stratégie de gestion des risques cyber de l’entreprise, y compris celle de ses fournisseurs.

2019 : incident EDF

EDF a signalé un incident de sécurité en 2019 pendant lequel une entité non autorisée a eu accès à des informations sensibles. Bien que l’attaque elle-même n’ait pas été entièrement une attaque de supply chain, les fournisseurs de services tiers d’EDF ont fait l’objet d’un examen minutieux. Étant donné la nature sensible de l’infrastructure énergétique, l’événement a suscité une attention considérable.

2020 : SolarWinds

L’année 2020 a été marquée par l’attaque tristement célèbre de SolarWinds, où des acteurs malveillants ont compromis le logiciel de surveillance et de gestion de l’infrastructure utilisé par des milliers d’organisations à l’échelle mondiale. Les attaquants ont inséré une vulnérabilité dans son mécanisme de mise à jour logiciel, affectant des agences gouvernementales critiques et des centaines d’entreprises. L’ampleur et la profondeur de cette attaque ont envoyé des ondes de choc à travers la communauté de la cybersécurité, soulignant le besoin urgent de mesures de sécurité améliorées pour la supply chain.

2020 : incident Orange Cyberdefense

Orange, un fournisseur de télécommunications de premier plan, a révélé en juillet 2020 que sa branche de cybersécurité, Orange Cyberdéfense, avait été victime d’une attaque. Une attaque sur une solution tierce a conduit à un accès non autorisé à une plateforme technique. Bien qu’aucune donnée sensible n’ait été officiellement compromise, l’incident a mis en lumière les risques associés à la dépendance envers les fournisseurs pour divers aspects de la cybersécurité.

2020 : attaque Ransomware contre Sopra Steria

En octobre 2020, Sopra Steria, un leader européen du conseil, des services numériques et du développement de logiciels avec une base solide en France, a été victime d’une attaque avec ransomware. Cette attaque a conduit à d’importantes perturbations opérationnelles et était particulièrement notable en raison du profil de l’entreprise dans les services de cybersécurité. L’attaque a apparemment exploité une vulnérabilité non divulguée précédemment dans la solution VPN de l’entreprise, qui faisait partie de sa supply chain, pour accéder aux réseaux internes. L’attaque a conduit à des temps d’arrêt considérables, a perturbé les services et a entraîné des pertes financières significatives pour l’entreprise. L’attaque a été orchestrée à l’aide d’une nouvelle version du ransomware Ryuk et était suffisamment importante pour justifier une divulgation publique et une réponse officielle de la part de l’entreprise. Cet épisode sert de rappel des vulnérabilités qui peuvent exister dans des solutions tierces et de l’impact d’une attaque non seulement sur l’entreprise cible, mais également sur ses clients.

2021 : Kaseya

Kaseya, un fournisseur de logiciels de gestion informatique, est devenu le point focal d’une attaque avec ransomware en 2021. En exploitant des vulnérabilités dans le logiciel VSA, une plateforme largement utilisée pour la gestion à distance, les attaquants ont pu propager le ransomware à plusieurs clients en aval. Cet incident a soulevé des questions troublantes sur la profondeur à laquelle un attaquant pourrait pénétrer dans des systèmes interconnectés, affectant non seulement une organisation, mais potentiellement des centaines via un seul point de défaillance.

2021 : Stormshield

Stormshield, une entreprise de cybersécurité spécialisée dans les solutions de sécurité réseau, a signalé une violation en janvier 2021. Les attaquants ont compromis le portail technique de l’entreprise, utilisé par les clients pour gérer leurs produits. L’incident a conduit Stormshield à déclencher ses protocoles de réponse aux incidents et à réévaluer l’ensemble de sa supply chain numérique. La violation a illustré l’ironie d’une entreprise de cybersécurité devenant le maillon faible de la supply chain et la nécessité d’une évaluation et d’un renforcement continus des mesures de sécurité.

2022 : le piratage d’Okta

En janvier 2022, le géant des services d’authentification Okta a été compromis par le groupe d’extorsion Lapsus$. Plutôt que de voler des données directement chez Okta, le groupe visait à utiliser ses accès pour cibler la vaste clientèle d’Okta. L’intrusion a été rendue possible par l’intermédiaire d’un sous-traitant tiers, Sitel. Bien que le piratage ait été de relativement courte durée, ayant lieu du 16 au 21 janvier, il n’a été publiquement divulgué qu’à la fin du mois de mars. Okta a déclaré qu’environ 375 de ses plus de 15 000 clients à l’échelle mondiale ont été touchés par cet incident de sécurité.

2022 : attaque des jetons OAuth de GitHub

En avril de la même année, GitHub s’est retrouvé au cœur d’une attaque hautement ciblée. Des acteurs malveillants ont volé des jetons utilisateur OAuth liés à des intégrateurs tiers tels que Heroku et Travis-CI. Ces jetons volés ont ensuite été utilisés pour télécharger sélectivement des données à partir de dépôts GitHub spécifiques. La précision de l’attaque suggère un haut niveau de planification et de compréhension de l’écosystème GitHub, les attaquants ayant soigneusement trié les dépôts privés accessibles pour choisir leurs cibles.

2022 : Fantasy Wiper

En décembre 2022, un groupe de menace persistante avancée (APT) lié à l’Iran, connu sous le nom d’Agrius, a lancé une attaque de la chaîne d’approvisionnement contre des organisations en Afrique du Sud, en Israël et à Hong Kong. Utilisant un nouveau malware d’effacement appelé Fantasy, le groupe a ciblé un développeur de logiciels israélien qui s’adresse à l’industrie du diamant. La compromission du logiciel de ce développeur a servi de vecteur pour infecter les organisations utilisatrices finales. Bien que l’attaque ait duré moins de trois heures, elle a eu un impact considérable, touchant cinq organisations, y compris un grossiste en diamants et un cabinet de conseil en RH.

2023 : attaque de la SNCF

Un prestataire de la SNCF a été victime d’une cyberattaque qui a entraîné la diffusion sur le darkweb de données personnelles de cheminots. L’attaque a ciblé la plateforme d’échanges de données sécurisées MOVEit et a affecté plusieurs centaines d’entreprises et d’agences gouvernementales à travers le monde. Les données compromises incluent des informations professionnelles et personnelles, des numéros de Sécurité sociale, et certains dossiers médicaux. Aucune donnée bancaire ou mot de passe n’a été volé. La SNCF a alerté ses employés et les a appelés à la vigilance accrue. Cette attaque s’inscrit dans une série d’incidents liés au logiciel MOVEit et a touché de nombreuses autres organisations, dont la BBC, British Airways et Shell.

2023 : attaque sur Les Hospices Civils de Lyon

Les Hospices Civils de Lyon (HCL) ont annoncé avoir été victimes d’une cyberattaque le 16 juin dernier, affectant une plateforme de transfert de données gérée par un prestataire. Cet incident n’a pas compromis de données médicales, de coordonnées bancaires ou de mots de passe, mais a résulté en un vol d’éléments d’identification du personnel. La fuite concerne une période allant d’avril 2020 à avril 2023, et en raison du turnover et de la présence d’étudiants, un grand nombre d’individus pourraient être affectés. Le système informatique des HCL reste opérationnel et une plainte a été déposée auprès des autorités compétentes. Ce cas s’inscrit dans un contexte plus large de vulnérabilité des établissements de santé face aux cyberattaques, comme en témoignent les 13160 plaintes enregistrées au total par la CNIL en 2022. Cet événement met en lumière le besoin urgent pour le secteur de la santé d’investir dans des évaluations complètes des risques en matière de cybersécurité et dans des solutions de surveillance en temps réel pour protéger les données sensibles. Il soulève également d’importantes préoccupations en matière de vie privée. Cette attaque a aussi entraîné un arrêt immédiat des services médicaux non urgents.

2023 : Cegedim

Le groupe de cybercriminels Cl0p a largement diffusé des données volées à l’entreprise de services numériques Cegedim, notamment via la vulnérabilité CVE-2023-34362 dans le système MOVEit Transfer. Plus de 1,5 To de données compressées ont été rendues publiques. Cegedim avait initialement pris des mesures de sécurité en réaction à une alerte début juin, mais malgré le déploiement de correctifs et de surveillance renforcée, l’entreprise a été victime d’une cyberattaque confirmée le 9 juin. Les premiers signes d’exploitation malveillante remontent au 30 mai, coïncidant avec le début de la campagne de cyberattaques de Cl0p. Jusqu’à présent, Cegedim n’a pas commenté publiquement sur l’incident.

2023: attaque du 3CX

3CX est un fournisseur de PBX (Private Branch Exchange) basé sur un logiciel, offrant une gamme de services liés à la communication d’entreprise. En mars 2023, la supply chain de 3CX a été attaquée, compromettant ses applications de bureau pour Windows et MacOS. Les attaquants ont inclus un fichier de bibliothèque infecté qui a téléchargé un fichier de Commande et Contrôle crypté, leur permettant de mener des activités malveillantes au sein du réseau de la victime. La faille suggère que l’environnement de développement de 3CX pourrait avoir été compromis, car les applications malveillantes étaient signées avec des certificats valides et distribuées directement à partir des serveurs de l’entreprise. L’attaque, liée au groupe Lazarus parrainé par la Corée du Nord, met en évidence la sophistication croissante des menaces contre les chaînes d’approvisionnement logiciel.

Ces incidents mettent en lumière les différentes couches de vulnérabilités qui peuvent être exploitées lors d’une attaque de la supply chain. Du système interne d’une entreprise aux fournisseurs tiers et aux clients, le panorama des menaces est complexe et en constante évolution. Ces cas offrent des perspectives sur les techniques avancées employées par les attaquants et soulignent la nécessité d’une approche globale de la cybersécurité de la supply chain.

Pourquoi les mesures traditionnelles de cybersécurité sont inadéquates ?

Les mesures traditionnelles de cybersécurité, souvent conçues avec une approche en silo, n’offrent plus une protection suffisante contre les attaques de la supply chain. Historiquement, les entreprises se sont concentrées sur le renforcement de leurs environnements réseau immédiats, en s’appuyant fortement sur des défenses de périmètre telles que les firewalls, les systèmes de détection d’intrusion et les logiciels antivirus. Bien que ces mesures soient toujours essentielles, elles ne sont pas équipées pour traiter les risques complexes intégrés dans les supply chains modernes, qui impliquent souvent plusieurs tiers ayant des niveaux variés de maturité en cybersécurité.

Une des limitations critiques des mesures traditionnelles de cybersécurité est l’accent mis sur les menaces connues. Utilisant des signatures prédéfinies ou des schémas comportementaux connus, ces mesures sont souvent réactives plutôt que proactives, offrant peu de défense contre les attaques nouvelles et sophistiquées qui emploient des tactiques avancées telles que les zero-days, le code polymorphique ou les malwares sans fichier.

Un autre aspect critique est la dépendance excessive envers les solutions automatisées, qui, bien qu’efficaces, manquent de la compréhension contextuelle souvent cruciale pour identifier les irrégularités subtiles dans le comportement de l’utilisateur ou les interactions du système. Cette lacune laisse la place aux attaquants pour exploiter des vulnérabilités de bas niveau que les systèmes automatisés négligent mais qui pourraient avoir des effets en cascade importants sur l’ensemble de la supply chain. De plus, les modèles traditionnels de cybersécurité négligent souvent l’élément humain, les employés, les dirigeants et même les clients, qui interagissent avec les systèmes et les données. Une erreur ou une négligence humaine peut facilement miner même les défenses techniques les plus robustes, créant une brèche qui pourrait être exploitée pour compromettre toute la supply chain.

L’hétérogénéité des approches technologiques au sein d’une supply chain ajoute une autre couche de complexité. Avec plusieurs fournisseurs impliqués, chacun avec ses propres systèmes et protocoles de sécurité, garantir un niveau uniforme de sécurité à travers la chaîne devient une tâche herculéenne. Ce patchwork de technologies crée de nombreux points d’entrée pour les attaquants, rendant la supply chain aussi forte que son maillon le plus faible. Les modèles traditionnels de cybersécurité sont mal adaptés pour faire face à l’évolution de la nature des menaces sur la supply chain, qui ont gagné en complexité et en sophistication. Cela nécessite une approche plus complète et multidimensionnelle de la cybersécurité, alliant des mesures techniques à des designs centrés sur l’humain, le systems thinking, et les modèles d’affaires algorithmiques pour créer des défenses résilientes et à l’épreuve du temps.

💡 Cybersécurité centrée sur l’humain

L’Importance de se concentrer sur l’utilisateur

Dans un monde obsédé par la technologie, il est facile de négliger la variable la plus imprévisible dans l’équation de la cybersécurité : l’élément humain. À mesure que la transformation numérique s’accélère, la tendance est de se concentrer sur des outils et technologies avancés pour protéger les actifs numériques d’une organisation. Cependant, ne pas intégrer l’aspect humain dans la stratégie de cybersécurité peut être une erreur critique.

Les humains ne sont pas seulement des utilisateurs finaux mais aussi des participants actifs qui interagissent avec les systèmes, prennent des décisions et peuvent soit être le maillon faible, soit la première ligne de défense en matière de cybersécurité. Par conséquent, comprendre et aborder le comportement et les besoins humains sont essentiels pour créer une infrastructure de cybersécurité efficace. Le focus sur l’utilisateur fait passer le paradigme de celui d’une simple application technique à celui de l’habilitation, facilitant les comportements sécurisés à travers un design intuitif et un engagement significatif.

L’analyse comportementale (behavioral analytics) dans la surveillance des utilisateurs (user monitoring)

Pour adopter véritablement une approche centrée sur l’humain (human-centric approach), les organisations se tournent de plus en plus vers l’analyse comportementale (Behavioral Analytics). Les mesures de sécurité traditionnelles fonctionnent souvent sur des règles prédéfinies, incapables de s’adapter à des comportements d’utilisateurs en évolution. L’analyse comportementale offre une approche nuancée, en utilisant des algorithmes de machine learning pour étudier continuellement les schémas de comportement « normal » des utilisateurs.

L’analyse comportementale représente une pierre angulaire dans le changement de paradigme vers une cybersécurité centrée sur l’humain, particulièrement dans le paysage complexe des menaces sur la supply chain. Contrairement aux systèmes de sécurité basés sur des règles traditionnelles, souvent caractérisés par des signatures de menaces statiques (static threat signatures) et une analyse heuristique de base (basic heuristic analysis), l’analyse comportementale déploie des techniques plus sophistiquées basées sur la data science et le machine learning.

L’architecture d’un système d’analyse comportementale est couramment construite autour d’algorithmes de machine learning formés sur des données historiques. Cela englobe une multitude de variables comme les horaires d’activité, les adresses IP, les types d’appareils, les mouvements de la souris, la dynamique de frappe (sur le clavier), et même des indicateurs biométriques lorsqu’ils sont disponibles.

Ces algorithmes, souvent des arbres de décision (decision trees), des réseaux neuronaux (neural networks) ou des machines à vecteurs de support (support vectors machines), sont formés pour établir ce qui constitue un comportement « normal » pour chaque utilisateur au sein d’une organisation.

Une fois que le modèle de comportement normal est établi, le système bascule dans la surveillance en temps réel, ingérant et analysant continuellement des points de données provenant du trafic réseau, des journaux système (system logs) et des activités des utilisateurs. Le véritable génie de cette technologie se manifeste dans sa capacité à s’adapter au fil du temps, recalibrant le modèle pour tenir compte des changements légitimes dans le comportement des utilisateurs, tels qu’un changement de rôle professionnel ou de lieu de travail, réduisant ainsi le taux de faux positifs.

L’application d’algorithmes de clustering tels que k-means ou le clustering hiérarchique peut affiner davantage le processus de surveillance (the monitoring process). Ces algorithmes segmentent la population d’utilisateurs en différentes catégories basées sur des traits comportementaux. Le bénéfice ici est double : il permet à l’organisation d’adapter ses protocoles de sécurité à différents groupes d’utilisateurs et offre une couche supplémentaire de granularité lors de l’identification d’activités anormales.

Lorsqu’une anomalie est détectée, qu’il s’agisse d’une augmentation soudaine du transfert de données, d’un accès à des fichiers critiques ou de tentatives de connexion depuis un nouvel emplacement géographique, le système déclenche des réponses automatisées. Celles-ci peuvent aller de simples alertes à des actions plus complexes comme la désactivation temporaire des comptes utilisateurs ou l’isolement des segments de réseau affectés. Le système enregistre ces incidents pour une analyse « médico-légale » ultérieure (forensic), fournissant des données cruciales qui peuvent aider à identifier la nature et la source de la menace.

De plus, l’analyse comportementale commence à incorporer des techniques de Natural Language Processing (NLP) pour analyser la communication textuelle au sein du réseau. Cela peut être particulièrement efficace pour signaler les menaces internes, où le langage utilisé dans les emails ou les plateformes de chat peut révéler des intentions ou des activités contraires à l’intérêt d’une organisation.

En harmonisant des modèles statistiques avancés, le machine learning et l’analyse en temps réel, l’analyse comportementale transcende les limitations des mesures de cybersécurité traditionnelles, offrant une approche plus nuancée, adaptative et sensible au contexte pour identifier les risques avant qu’ils ne se transforment en incidents de sécurité.

Création de politiques de sécurité centrées sur l’utilisateur

La cybersécurité centrée sur l’humain ne concerne pas uniquement la technologie, il s’agit également de créer des politiques et des environnements qui encouragent un comportement sécurisé. Les politiques traditionnelles sont souvent perçues comme des règlements restrictifs qui découragent les utilisateurs d’adopter pleinement les outils numériques à leur disposition. En revanche, les politiques centrées sur l’utilisateur visent à éduquer et à autonomiser, en présentant la sécurité comme une responsabilité partagée plutôt qu’une obligation lourde.

Au lieu de simplement imposer la conformité par des mesures punitives, les organisations doivent élaborer des politiques qui sont intuitives et alignées sur les besoins et les flux de travail des utilisateurs. Cela implique de simplifier les protocoles de sécurité, de fournir des directives claires et, surtout, d’encourager un état d’esprit axé sur la sécurité grâce à des programmes de formation et de sensibilisation. En intégrant des éléments de design thinking, les organisations peuvent créer des interfaces utilisateur et des expériences qui rendent les pratiques sécurisées la norme plutôt que l’exception.

La cybersécurité centrée sur l’humain offre un cadre holistique et adaptable, mieux adapté pour relever les défis des attaques sur la supply chain. Elle intègre la variable souvent négligée du comportement humain dans l’équation, ajoutant une couche supplémentaire de résilience aux mesures de cybersécurité.

💡 Le pouvoir du Design Thinking

Principes du Design Thinking en cybersécurité

Le design thinking est une approche itérative, centrée sur l’utilisateur, pour la résolution de problèmes qui cherche à comprendre les défis, les besoins et les expériences de l’utilisateur final. Bien que ses racines soient dans le design de produit physique (comme des chaises ou des aspirateurs), la méthode a été appliquée avec succès à de multiples domaines, y compris la cybersécurité. Le processus implique cinq étapes principales : Empathie, Définition, Idéation, Prototype et Test.

Dans le contexte de la cybersécurité, le design thinking pousse les organisations à réévaluer non seulement les aspects techniques de leur architecture de sécurité, mais aussi la convivialité et l’interaction utilisateur avec le système. L’essence ici est de créer des solutions qui ne sont pas seulement robustes, mais aussi intuitives, réduisant ainsi la charge cognitive sur l’utilisateur et, par conséquent, atténuant les chances d’erreur humaine. L’idée est de s’assurer que l’utilisateur, lorsqu’il interagit avec un système, suit naturellement le chemin le plus sûr sans nécessiter une connaissance approfondie des protocoles de sécurité.

Engagement des parties prenantes (Stakeholder Engagement) et empathie

Une pierre angulaire du design thinking en cybersécurité est l’engagement des parties prenantes (les utilisateurs finaux ou le management par exemple) et l’empathie. Les approches traditionnelles excluent souvent les parties prenantes non techniques du processus décisionnel en matière de cybersécurité, ce qui peut aboutir à des solutions techniquement solides, mais pratiquement inefficaces ou encombrantes. Dans un cadre de design thinking, tout le monde, des dirigeants aux utilisateurs finaux en passant par les partenaires de la supply chain, intervient dans l’élaboration des solutions de sécurité.

À travers des entretiens structurés, des sondages et des ateliers interactifs, les parties prenantes expriment leurs points de douleur (pain points), leurs besoins et leurs attentes. Cette riche collection de données expérientielles sert de base à la conception de solutions centrées sur l’utilisateur. Par exemple, les commentaires des fournisseurs et des prestataires tiers de la supply chain peuvent révéler des défis logistiques et opérationnels qui pourraient être invisibles d’un point de vue purement interne à l’entreprise, mais qui pourraient potentiellement exposer l’organisation à des risques cyber.

Idéation et prototypage pour la sécurité de la Supply Chain

À ce stade, des équipes interdisciplinaires se rassemblent pour réfléchir et générer diverses solutions aux problèmes identifiés. L’accent n’est pas seulement mis sur la correction des vulnérabilités, mais sur la réinvention de tout l’écosystème avec une perspective qui tient compte à la fois des variables techniques et humaines. Les équipes s’appuient sur une base de connaissances diversifiée, incluant des techniques avancées de cybersécurité, la science du comportement (behavioral science), le design de l’expérience utilisateur(UX) et le systems thinking.

Une fois qu’une sélection de propriétés est définie, le prototypage rapide commence. Qu’il s’agisse d’un nouveau mécanisme d’authentification multi-facteurs conçu pour la facilité d’utilisation ou d’une plateforme de partage de données cryptées qui intègre les commentaires des utilisateurs, les prototypes sont construits et itérés rapidement. Ceux-ci sont ensuite testés dans des environnements contrôlés qui simulent des scénarios du monde réel, y compris diverses interactions de la supply chain.

La boucle de rétroaction établie ici permet des affinements et des modifications rapides. Souvent, des simulations sont employées qui imitent les opérations de la supply chain dans le monde réel, permettant à l’équipe de comprendre les implications de leurs solutions sur différents aspects de la supply chain, tels que les achats, la logistique et la gestion des stocks. Ce processus itératif se poursuit jusqu’à ce qu’une solution viable qui équilibre une sécurité robuste avec un design centré sur l’utilisateur soit atteinte.

En conclusion, l’application du design thinking en cybersécurité symbolise un changement monumental par rapport aux méthodes traditionnelles centrées sur la technologie. En mettant l’accent sur l’empathie, l’engagement des parties prenantes et l’idéation et le prototypage rapides, cette approche vise à élaborer des solutions de cybersécurité qui ne sont pas seulement robustes, mais aussi profondément alignées avec le comportement humain et les complexités organisationnelles, en particulier dans le contexte de la sécurité de la supply chain.

Incorporer le design thinking dans les stratégies de cybersécurité enrichit la résolution des problèmes en ajoutant des couches d’expérience humaine, de tests itératifs et de connaissances interdisciplinaires. Il facilite la création de solutions de sécurité holistiques qui sont supérieures à la somme de leurs parties techniques.

💡 Systems Thinking : La perspective holistique

Comprendre les interactions de systèmes complexes

Le systems thinking nous invite à comprendre un espace problématique comme un réseau complexe de composants interactifs, plutôt qu’une collection d’entités isolées. En cybersécurité, surtout dans les contextes de supply chain, cette approche est inestimable. Une supply chain est, après tout, une toile enchevêtrée de fabricants, de fournisseurs de logistique, de vendeurs et de clients, tous interconnectés via diverses plateformes numériques. Les interactions entre ces entités, superposées à leurs propres systèmes internes, créent un assemblage qui n’est pas simplement compliqué, mais complexe, dynamique, adaptatif et sujet à des phénomènes émergents.

Par exemple, l’introduction d’un nouveau système de facturation dans une partie de la supply chain pourrait involontairement exposer une autre partie à des risques accrus d’attaques de phishing. Le systems thinking nous permet d’anticiper ce genre d’effets induits en nous incitant à cartographier les interactions de systèmes complexes. Diverses techniques de modélisation telles que System Dynamics, Agent-Based Modeling et Network Theory peuvent fournir des outils sophistiqués pour ce type d’analyse systémique.

Le concept de Failles en Cascade

Les vulnérabilités d’un composant peuvent rapidement se propager à travers le réseau, entraînant des failles en cascade. Ce concept est crucial dans le contexte de la cybersécurité de la supply chain, car la chaîne, par conception, amplifie les interdépendances. Une défaillance dans une partie, disons un fournisseur tiers compromis, peut rapidement s’intensifier en un incident de sécurité à l’échelle du système, affectant divers aspects de l’organisation, de la logistique à l’intégrité des données.

Comprendre les failles en cascade nécessite plus que simplement reconnaître qu’un problème dans un domaine pourrait entraîner un autre problème. Il nécessite une analyse approfondie pour comprendre la nature et les voies de ces effets en cascade. Par exemple, l’utilisation de réseaux Bayésiens (Bayesian networks) ou de modèles de Markov peut fournir des informations sur la probabilité qu’une défaillance en déclenche une autre et sur ce à quoi pourrait ressembler la séquence des défaillances.

Une approche basée sur les systèmes pour la Gestion des Risques

Prenant exemple sur les principes du systems thinking, la gestion des risques en matière de cybersécurité de la supply chain doit adopter une approche multicouche et interconnectée. La gestion des risques traditionnelle implique souvent d’attribuer des valeurs aux actifs individuels, puis de les protéger de manière isolée. En contraste, une approche basée sur les systèmes identifie non seulement les actifs, mais aussi les connexions entre eux, évaluant les risques découlant de ces relations.

Pour mettre en œuvre cette approche, les organisations peuvent utiliser des techniques comme la « Fault Tree Analysis » ou la « Failure Modes and Effects Analysis » pour comprendre comment les risques individuels sont interdépendants et peuvent affecter l’ensemble du système. Ensuite, sur la base de cette compréhension, concevoir des contre-mesures tout aussi systémiques, telles que des protocoles d’authentification mutuelle entre les partenaires de la supply chain ou une surveillance en temps réel des flux de données à travers la supply chain.

En exploitant des modèles mathématiques, des techniques de simulation et des scénarios de test du monde réel, les organisations peuvent calculer le facteur de risque global d’une stratégie particulière, plutôt que de simplement évaluer son impact sur des éléments isolés. Cela permet de créer des architectures de cybersécurité plus robustes, adaptatives et résilientes, capables de résister aux complexités inhérentes aux interactions de la supply chain.

En résumé, le systems thinking offre un cadre intellectuel rigoureux qui s’aligne remarquablement bien avec les défis de la cybersécurité de la supply chain. En se concentrant sur les interactions de systèmes complexes, les failles en cascade et une approche basée sur les systèmes pour la gestion des risques, cette perspective permet aux organisations de mieux se préparer, répondre et se remettre des incidents de cybersécurité.

💡Algorithmic Business Thinking

Le mariage entre les algorithmes et l’Ingéniosité humaine

Algorithmic Business Thinking représente un paradigme émergent qui fusionne les capacités de calcul des technologies modernes avec la puissance créative de résolution de problèmes de l’intelligence humaine. Dans cette fusion, les algorithmes ne sont pas de simples outils, mais des partenaires collaboratifs qui augmentent les capacités de prise de décision humaines. Cette synergie est particulièrement impactante dans le contexte de la cybersécurité de la supply chain, où les enjeux sont élevés et les scénarios complexes.

Prenons, par exemple, des algorithmes de machine learning formés sur de vastes ensembles de données de transactions de supply chain et de comportements des utilisateurs. Ces algorithmes peuvent prévoir des menaces ou des vulnérabilités potentielles avec une précision stupéfiante. Cependant, leur utilité est profondément amplifiée lorsqu’ils sont couplés avec des experts humains capables d’interpréter ces prévisions dans le contexte de scénarios nuancés du monde réel, permettant ainsi des stratégies plus efficaces pour l’atténuation des menaces ou l’allocation des ressources.

Exploitation des données pour la prise de décision (Leveraging data for decision-making)

Les données sont souvent citées comme le nouveau pétrole, une ressource qui, une fois raffinée et analysée, peut fournir des informations inestimables. L’Algorithmic Business Thinking soutient que l’utilisation efficace des données dans la prise de décision n’est pas simplement un exercice technique, mais également un exercice stratégique. Dans le paysage de la cybersécurité, l’exploitation minutieuse des données peut révéler des schémas invisibles aux analystes humains.

Par exemple, l’analyse de big data pourrait révéler des corrélations entre certaines pratiques logistiques de la supply chain et un risque accru de cyberattaques. Les données provenant de sources disparates telles que les journaux réseau, l’activité des employés, les interactions avec les fournisseurs et les développements géopolitiques peuvent être synthétisées en un ensemble ou un modèle cohérent. Des techniques d’analyse avancées, telles que l’analyse prédictive ou l’exploration des opinions, pourraient étendre davantage ces modèles pour offrir des renseignements exploitables pour les décideurs, formant ainsi un aspect crucial d’une stratégie de cybersécurité proactive.

Considérations éthiques dans les approches algorithmiques

À mesure que nous nous aventurons plus profondément dans un monde guidé par des algorithmes, les considérations éthiques montent en importance. L’utilisation de l’Algorithmic Business Thinking dans la cybersécurité de la supply chain ne fait pas exception. Une surveillance éthique doit guider la mise en œuvre et le fonctionnement des systèmes algorithmiques pour s’assurer qu’ils ne perpétuent pas involontairement de biais, d’inégalité ou de surveillance excessive. Par exemple, les algorithmes conçus pour surveiller le comportement des utilisateurs face aux menaces de sécurité doivent être soigneusement calibrés pour respecter la vie privée individuelle et ne pas discriminer sur des bases telles que la localisation géographique ou le type de poste.

La transparence et la responsabilité constituent le socle des pratiques algorithmiques éthiques. S’assurer que les décisions algorithmiques peuvent être expliquées et justifiées est crucial, en particulier lorsque ces décisions ont des effets tels que le signalement d’un partenaire de la supply chain comme un risque potentiel. De plus, il convient d’auditer ces algorithmes pour garantir leur conformité aux lois et normes éthiques existantes, surtout compte tenu de la nature transnationale de nombreuses supply chains modernes.

L’Algorithmic Business Thinking ouvre une nouvelle frontière dans la cybersécurité de la supply chain, une frontière qui promet d’enrichir notre répertoire stratégique et tactique. En mariant la puissance de calcul avec l’ingéniosité humaine, en se concentrant sur la prise de décision basée sur les données et en respectant les normes éthiques, cette approche fournit un cadre solide pour aborder les défis complexes et en constante évolution que présente la cybersécurité de la supply chain.

💡 Technologies Émergentes

L’Intelligence Artificielle pour la détection d’anomalies

L’intelligence artificielle (IA) est devenue un élément incontournable des efforts en matière de cybersécurité, notamment pour des tâches comme la détection d’anomalies au sein de la supply chain. Les systèmes de sécurité traditionnels basés sur des règles souffrent souvent d’un grand nombre de faux positifs et d’une incapacité à s’adapter rapidement à de nouveaux types de menaces. Les algorithmes d’IA, en particulier ceux utilisant le machine learning, ont montré une capacité remarquable à apprendre des données qu’ils traitent, leur permettant d’identifier des activités suspectes ou des vulnérabilités qui s’écartent des normes comportementales établies.

Les techniques de Deep Learning, une sous-catégorie du Machine Learning, peuvent affiner davantage les capacités de ces systèmes. Par exemple, un réseau neuronal convolutif pourrait scanner des paquets de réseau pour identifier des types de logiciels malveillants auparavant inconnus en fonction de leurs caractéristiques structurelles. De même, les algorithmes de traitement du langage naturel peuvent examiner les communications écrites pour détecter des signes d’ingénierie sociale ou de tentatives de phishing, renforçant ainsi les couches de protection de la supply chain.

Blockchain pour des pistes d’audit inaltérables

La technologie Blockchain attire l’attention pour son potentiel à créer des enregistrements inaltérables, transparents et décentralisés de transactions. Dans le domaine de la cybersécurité de la supply chain, la blockchain pourrait servir d’infrastructure robuste pour maintenir des pistes d’audit résistants à toute manipulation. Étant donné qu’un enregistrement compromis peut avoir des effets en cascade dans toute la supply chain, l’inaltérabilité assurée par la cryptographie de la blockchain peut être dissuasive contre la manipulation des données.

De plus, les smart contracts, des accords auto-exécutables dont les termes du contrat sont directement écrits dans le code, peuvent automatiser divers aspects des interactions de la supply chain. Ceux-ci peuvent inclure des processus de vérification ou déclencher des actions spécifiques lorsque certaines conditions sont remplies, telles que des stratégies de réponse immédiate en cas d’anomalies identifiées.

La Technologie Quantique et ses implications futures

Bien qu’encore à ses débuts, la technologie quantique promet des implications profondes pour la cybersécurité de la supply chain. D’une part, l’informatique quantique menace de perturber les protocoles cryptographiques existants, rendant potentiellement obsolètes les techniques de chiffrement actuelles. D’autre part, la nature même de la mécanique quantique offre de nouvelles voies pour une communication sécurisée grâce à des techniques comme la distribution de clés quantiques.

Les capteurs quantiques et la cryptographie résistante au quantique émergent comme des contre-mesures potentielles aux menaces posées par les capacités de l’informatique quantique. À mesure que ces technologies deviennent commercialement viables, elles joueront un rôle de plus en plus crucial pour anticiper les stratégies de cybersécurité, notamment dans les secteurs où la supply chain implique des informations à haut risque ou à haute valeur.

Les technologies émergentes offrent un riche arsenal d’outils et d’approches pour élever la cybersécurité de la supply chain. Cependant, leur adoption n’est pas sans défis, allant des complexités techniques de mise en œuvre à des considérations éthiques et orientées vers l’avenir. Ce qui rend ces technologies particulièrement intéressantes, c’est leur capacité à redéfinir fondamentalement le paysage de la cybersécurité, nous forçant à repenser les paradigmes et les stratégies existants.

💡Une Feuille de Route Stratégique

Évaluation des vulnérabilités existantes: un Framework Diagnostic

La première étape pour établir une posture de cybersécurité solide est de comprendre les vulnérabilités existantes. Cela nécessite un cadre (framework) diagnostic qui combine à la fois des analyses quantitatives et qualitatives. Des outils tels que les scanners de vulnérabilité réseau, les plateformes d’évaluation de la conformité et les services de renseignements sur les menaces doivent faire partie de ce cadre, permettant aux organisations de créer un inventaire des faiblesses techniques.

Cependant, les vulnérabilités techniques ne sont qu’un aspect du défi. Un diagnostic complet devrait inclure une évaluation des facteurs humains, notamment comment le personnel, du management au personnel opérationnel, comprend et aborde la cybersécurité. Des méthodes telles que les attaques de phishing simulées, l’analyse comportementale et les évaluations périodiques de formation à la sécurité sont ici essentielles. De plus, le cadre diagnostic devrait prendre en compte le risque des tiers et des fournisseurs, garantissant un profil de risque complet qui englobe l’ensemble du réseau de la supply chain.

Le « Future-Proofing » et la Stratégie Prescriptive

Alors qu’un cadre diagnostic identifie ce qui est erroné ou faible, une stratégie prescriptive esquisse les étapes pour atténuer ces vulnérabilités. Une telle stratégie implique à la fois des couches tactiques et stratégiques. Sur le plan tactique, des actions spécifiques telles que la segmentation du réseau, l’adoption de modèles de zero trust ou l’amélioration des protocoles de gestion de l’identité et des accès pourraient être recommandées.

Stratégiquement, l’accent devrait être mis sur la construction d’une culture de la sécurité qui imprègne chaque niveau de l’organisation. Cela comprend l’approbation du leadership, l’engagement des employés et l’alignement des fournisseurs. Le future-proofing nécessite également une approche adaptable, exploitant des technologies et des méthodologies émergentes comme l’IA pour la détection des menaces ou la blockchain pour les pistes d’audit, comme discuté dans le chapitre précédent. Des mesures préventives telles que les plans de reprise après sinistre et la redondance doivent également être intégrées à la stratégie, garantissant la continuité en cas d’événements imprévus.

Efforts de collaboration croisée (Cross-Collaborative Efforts) pour la résilience organisationnelle

La cybersécurité de la supply chain n’est pas une responsabilité isolée, elle nécessite des efforts concertés de plusieurs parties prenantes : départements internes, partenaires de la supply chain, organismes industriels et même agences réglementaires. Par conséquent, une stratégie visant à la résilience doit encourager des efforts de collaboration croisée. Le partage d’informations et les plateformes conjointes de renseignements sur les menaces peuvent contribuer de manière significative à améliorer la sécurité collective. De même, des exercices de formation collaboratifs et des normes de cybersécurité à l’échelle de l’industrie peuvent aider à élever la posture de sécurité non seulement d’une seule entité, mais de l’ensemble du réseau de la supply chain.

Dans cette optique, les organisations pourraient initier ou participer à des initiatives collaboratives telles que les Information Sharing and Analysis Centers (ISACs) ou d’autres modèles de partenariat public-privé. Ce faisant, elles contribuent à un mécanisme de défense communautaire, renforçant non seulement leur propre supply chain mais contribuant également à des objectifs de sécurité industrielle et nationale plus larges.

Une feuille de route stratégique offre une voie d’action qui transforme le cadre conceptuel et les possibilités technologiques discutées dans les chapitres précédents en un plan concret. Cette feuille de route pose les bases d’une approche adaptative, résiliente et collaborative à la cybersécurité de la supply chain.

Dans les années à venir, les attaques contre la supply chain vont indiscutablement s’amplifier à la fois en sophistication et en fréquence. Les surfaces d’attaque en expansion du fait du développement rapide de logiciels, combinées avec l’adoption d’outils modernes, de langages et de cadres, créent des opportunités réelles pour les acteurs malveillants.

Le concept de Island Hopping (une attaque par ‘Island Hopping’ se produit lorsque des attaquants cherchent à accéder à une entreprise par une voie détournée, au lieu de cibler directement l’organisation victime prévue, les attaquants vont “sauter” à travers une série d’étapes intermédiaires afin d’atteindre leurs objectifs), où les attaquants infiltrent l’infrastructure d’une organisation pour accéder à ses clients ou partenaires, va gagner en attractivité et en fréquence. Le protocole de bureau à distance (RDP: Remote Desktop Protocol ) sera de plus en plus manipulé lors de ces campagnes, posant une menace considérable que les organisations devraient garder dans leur champ de vision.

Malgré des signaux d’avertissement abondants et des incidents passés nombreux et connus, il demeure un déficit manifeste en outils et procédures adéquats pour se protéger contre ces vulnérabilités. Notamment, la confiance envers les partenaires et fournisseurs tiers émergera comme l’un des canaux principaux pour les attaques sur les chaînes d’approvisionnement. Les entreprises trouveront de plus en plus inefficace de compter uniquement sur leurs mesures de cybersécurité internes et mettront un accent croissant sur la vérification de la conformité de leurs partenaires à des règles de sécurité partagées.

Les menaces contre la supply chain logicielle vont particulièrement monter en importance, exacerbées par la dépendance croissante envers les bibliothèques open source. Les vulnérabilités dans ces bibliothèques se répercuteront dans plusieurs systèmes, affectant des marchés entiers. Les efforts pour établir des factures de matériaux logiciels (SBOMs) pour gérer cette complexité sont naissants mais remplis de défis, y compris la résistance des grandes entreprises technologiques et le besoin de nouveaux flux de travail et d’automatisation dans la gestion de vulnérabilité.

Par ailleurs, la supply chain physique ne doit pas être négligée. À mesure que les tensions mondiales augmentent, le risque de perturbation d’origine cyber dans les supply chain physiques essentielles, de la nourriture au pétrole, augmente. La fragilité des chaînes d’approvisionnement numériques et physiques, déjà mise en évidence par des événements tels que l’incident du pipeline Colonial et des conflits géopolitiques, continuera d’être un point focal.

Les attaques sur les supply chain vont devenir une préoccupation majeure et à multiples facettes qui nécessitera une approche composite, en évolution et intersectorielle en matière de cybersécurité. Le paysage de la vulnérabilité deviendra de plus en plus complexe, exigeant une vigilance inlassable et une approche multidimensionnelle de la gestion des risques.

En conclusion finale, nous voulons souligner l’importance d’une approche multidimensionnelle de la cybersécurité de la supply chain. En fusionnant la compétence technique avec des méthodologies centrées sur l’humain et des stratégies orientées vers l’avenir, les organisations ont une meilleure chance face au paysage des menaces en constante évolution. Ce n’est pas simplement une option mais une nécessité pour préserver l’intégrité, la disponibilité et la confidentialité de leur supply chain. Adopter ces paradigmes devient un impératif pour atteindre une résilience robuste en matière de cybersécurité.

 

Source:

Donella H. Meadows – “Thinking in Systems: A Primer,” Chelsea Green Publishing: https://www.chelseagreen.com/product/thinking-in-systems/

Peter M. Senge (MIT Sloan School of Management)  – “The Fifth Discipline: The Art & Practice of The Learning Organization,” Currency: https://www.amazon.com/Fifth-Discipline-Practice-Learning-Organization/dp/0385517254

Forbes – “Six Months Into 2023: Reflections On The Supply Chain So Far”:

https://www.forbes.com/sites/forbesbusinesscouncil/2023/07/13/six-months-into-2023-reflections-on-the-supply-chain-so-far/?sh=1d459dd845a8

Gartner – “The Future of Supply Chain 2023: Roadmap to Reinvention”:

https://www.gartner.com/en/webinar/451488/1063992

Tim Brown – “Change by Design: How Design Thinking Transforms Organizations and Inspires Innovation,” HarperBusiness: https://www.amazon.com/Change-Design-Transforms-Organizations-Innovation/dp/0061766089

Andrew McAfee & Erik Brynjolfsson – “The Second Machine Age: Work, Progress, and Prosperity in a Time of Brilliant Technologies,” W. W. Norton & Company:

https://www.amazon.com/Second-Machine-Age-Prosperity-Technologies/dp/0393350649

Gartner – “Global Supply Chain Strategies & Solutions”:

https://www.gartner.com/en/supply-chain

Demandez à être contacté