Les commentaires de BlueVoyant :
Tom Huckle, VP, Director of Information Security & Compliance EMEA chez BlueVoyant :
« Une attaque de la chaîne d’approvisionnement peut avoir un grand nombre d’implications pour toute entreprise. Les entreprises sont aussi sûres que le plus faible de leurs liens avec des tiers et, malheureusement, lorsque cette faiblesse est exploitée par des cybercriminels, elle peut déclencher un effet domino de risques de sécurité avec des impacts négatifs à long terme sur les finances de l’entreprise, sa réputation, le bien-être des employés et les données personnelles des clients. Pour Uber en particulier, cette attaque survient quelques mois seulement après que le groupe de hackers Lapsus$ ait accéder au réseau interne de l’entreprise, qui a érodé la confiance de ses partenaires et de ses clients.
Les « UberLeaks » auraient exposé une grande quantité de données de l’entreprise, notamment des informations sur les actifs informatiques et les adresses mail des employés. Comme l’ont souligné de nombreux chercheurs, cela ouvre la porte à des campagnes d’hameçonnage ciblé. Uber, ses employés et ses partenaires sont ainsi exposés à un risque accru.
Uber doit s’efforcer de faire modifier les mots de passe et les informations d’identification de tous ses employés aussi rapidement que possible, et s’assurer que ses employés suivent une formation rigoureuse contre l’hameçonnage pour atténuer ces menaces. Ces campagnes de sensibilisation devront inclure une communication hors bande pour vraiment protéger les employés contre les attaques de phishing, tant au niveau de l’entreprise qu’au niveau personnel. Bien que le niveau de danger soit élevé, Uber devrait également exiger que les principales décisions soient approuvées par deux dirigeants.
Comment les entreprises peuvent-elles réduire ce risque ?
Concernant les données sensibles d’une organisation, l’externalisation reste l’un des risques de sécurité se répandant le plus rapidement. Pourtant peu d’entreprises disposent des ressources et de l’expertise nécessaires pour identifier et surveiller efficacement les cyber-risques associés aux tiers. Dans le cas d’Uber, le fournisseur tiers semble être Teqtivity, un fournisseur de solutions de gestion des données.
Les contraintes de ressources constituent souvent un obstacle majeur pour les entreprises qui souhaitent assurer une visibilité complète sur la chaîne d’approvisionnement. Les entreprises ont parfois du mal à surveiller leurs fournisseurs en permanence, voire pas du tout, ce qui signifie que les faiblesses ne peuvent pas être identifiées et corrigées aussi efficacement. À moins d’employer des spécialistes de la cybersécurité ou un service externe similaire, les entreprises peuvent être confrontées à un manque d’expertise en matière de gestion des cyber-risques, ce qui signifie que les organisations souffrent de lacunes en matière de contrôle à mesure que leurs chaînes d’approvisionnement se développent. Une visibilité réelle et fiable de la chaîne d’approvisionnement ne sera pas obtenue par les évaluations ad hoc requises dans le cadre des mesures de conformité de base.
Il est également essentiel de connaître ses fournisseurs. Il est essentiel de procéder à une surveillance et à des évaluations continues et multiformes, car les menaces pour la cybersécurité de la chaîne d’approvisionnement sont variables. Lorsque des faiblesses et des vulnérabilités de sécurité sont identifiées, les mesures correctives doivent être rapides et efficaces et s’accompagner d’instructions concrètes. L’adoption d’une approche méthodique permet d’intégrer le risque de cybersécurité de la chaîne d’approvisionnement dans la gestion des risques de l’entreprise. »
Lorri Janssen-Anessi, Director External Cyber Assessments chez BlueVoyant :
« Il est impératif que les entreprises prennent note des techniques courantes employées par les hackers pour compromettre les réseaux. Il est évident que les tiers ou les fournisseurs continuent d’être le vecteur privilégié à exploiter afin d’accéder à une cible plus importante. Malheureusement, la brèche signalée dans le système Uber en est un parfait exemple. Non seulement le pirate informatique a exploité un tiers pour accéder à l’entreprise, mais ce n’est pas le premier incident que l’entreprise a subi récemment. Cette tactique est très efficace, et tant que les entreprises n’étendront pas leurs programmes et pratiques de sécurité de manière systématique à l’ensemble de l’écosystème, elles continueront à courir des risques. Cela met également en évidence les dangers du partage des informations avec des tiers ou des fournisseurs tiers, à savoir que vous êtes à la merci du programme de sécurité du tiers, s’il existe, et de sa mise en œuvre. Vos données sont alors indéniablement en danger via ce fournisseur tiers.
BlueVoyant a récemment interrogé plus de 2 000 cadres dirigeants sur la cybersécurité de la chaîne d’approvisionnement. L’enquête a montré que les organisations ont encore du mal à surveiller et à prévenir les impacts négatifs des vendeurs et des fournisseurs. Quatre-vingt-dix-huit pour cent des entreprises interrogées déclarent avoir subi un impact négatif à la suite d’une violation de la cybersécurité survenue dans leur chaîne d’approvisionnement, soit une légère augmentation par rapport aux 97 % de répondants de l’année dernière. Cela peut s’expliquer par le fait que 40 % des répondants comptent sur le vendeur ou le fournisseur tiers pour assurer une sécurité adéquate, ce qui peut les rendre vulnérables aux failles.
Pour mieux se protéger contre ce type d’attaques, les entreprises doivent s’assurer qu’elles connaissent les vendeurs, fournisseurs et autres tiers qui ont accès au réseau et sont nécessaires à la continuité des activités. Elles doivent ensuite surveiller en permanence ces tiers afin de détecter les problèmes, comme les systèmes non corrigés ou les problèmes d’hygiène informatique. Les entreprises doivent ensuite travailler avec ces tiers pour remédier à ces problèmes. »