Vie Privée

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé.
Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée.

Gestion de vos cookies

Notre site Web utilise des cookies. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies » .

Cookies nécessaires

Ceux-ci sont indispensables à la navigation de l’utilisateur et permettent de donner accès à certaines fonctionnalités comme les accès aux zones sécurisées. Sans ces cookies, il ne sera pas possible de fournir le service.
Matomo en auto-hébergement

Cookies marketing

Ces cookies sont utilisés pour vous proposer des publicités plus pertinentes, limiter le nombre de fois que vous voyez une publicité ; aider à mesurer l’efficacité de la campagne publicitaire ; et comprendre le comportement des individus après avoir vu une publicité.
Vie Privée Adobe | Vie Privée Marketo | Vie Privée MRP | Vie Privée AccountInsight | Vie Privée Triblio

Cookies de réseaux sociaux

Ces cookies sont utilisés pour mesurer l’efficacité des campagnes sur les réseaux sociaux.
Vie Privée de LinkedIn

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée

Passer au contenu principal

SolarWinds : quels enseignements tirer de la cyberattaque ?


Publié le: 10 février 2021 par Atos

Fin décembre 2020 : la cyberattaque dont a été victime SolarWinds est l’une des plus spectaculaires de ces dernières années dans l’Histoire des cyberattaques. Les pirates informatiques ont ciblé la supply chain afin de compromettre la suite logicielle Orion.

 

De plus en plus sophistiquées, les cyberattaques de ces dernières années se font à grande échelle et exploitent les faiblesses de la mise en œuvre des processus de gestion de la supply chain (chaîne d'approvisionnement). L’attaque contre la suite logicielle Orion de SolarWinds se distingue par le fait que les pirates ont ciblé cette chaîne pour contourner les dispositifs traditionnels de surveillance et de détection de l’entreprise. L’infrastructure de production de SolarWinds a été compromise et les hackers ont utilisé cet accès pour distribuer des mises à jour du logiciel piraté aux clients de SolarWinds.

Cet événement est d’autant plus important que l’entreprise texane, éditrice de logiciels de gestion des réseaux, des systèmes et infrastructures informatiques, possède une base de données de 300 000 clients, dont le gouvernement fédéral américain, 80 % des entreprises du Fortune 500 et divers clients dans le monde entier.

Ce qui s’est exactement passé

Les pirates ont utilisé un logiciel malveillant perfectionné de type « zero-day » pour compromettre les serveurs de production de SolarWinds, qui pouvaient s'identifier lorsqu'ils étaient installés sur un système de développement et attendaient que le développeur accède à des fichiers de code source spécifiques d'Orion. Le virus s'est alors activé pour remplacer l'un des fichiers sources afin d'inclure le code de la porte dérobée SUNBURST, en insérant le code malveillant dans la mise à jour du logiciel légitime. Les clients de SolarWinds ont ainsi involontairement installé le logiciel malveillant en mettant à jour leur plateforme Orion. Cette méthode d'attaque est généralement connue sous le nom d'attaque de la supply chain, car elle touche à la chaîne toutes les entreprises qui utilisent un logiciel de confiance contenant un malware.

Par ailleurs, les pares-feux, les dispositifs de détection d'intrusion et autres solutions de surveillance étaient sans doute limités dans leur capacité à détecter l'attaque et à permettre une réponse rapide à l'intrusion. Bien que l'incident ait pris de l'importance en décembre 2020 après les révélations de FireEye, les premiers rapports indiquent que l'attaque pourrait avoir commencé dès septembre 2019. SolarWinds et ses clients ont probablement été exposés pendant des mois jusqu'à ce que l'incident soit rendu public.

Les experts informatiques savent déjà qu'ils doivent appliquer les plus récents processus de gestion de la supply chain, et notamment comprendre comment leurs prestataires gèrent la sécurité. Ils doivent également veiller à ce que leur programme de qualité inclue des principes de développement sûrs et des processus de gestion des mises à jour efficaces (en plus d'autres normes largement reconnues). Toutefois, étant donné la technicité de cette attaque, il convient de se demander si les pratiques conventionnelles de gestion de la supply chain permettent de gérer correctement les risques liés à des incidents comme celui de SolarWinds.

Que faire pour s’assurer d’être protégé ?

« Afin de se prémunir contre des pirates informatiques de plus en plus créatifs, il est nécessaire d’aller au-delà des pratiques conventionnelles. » Dan Schaupner, directeur Digital Innovation Development, Digital Security Consulting Atos, précise : « nous nous appuyons sur des procédures de sécurité régulières et sur les informations partagées par nos services de sécurité pour anticiper et répondre aux menaces. »

Ce cas sans précédent est l'occasion pour les RSSI et les personnes responsables de la sécurité informatique des entreprises de comparer leur grille d'intervention à celle-ci :

  • Examiner régulièrement les renseignements provenant des centres d'analyse et de partage des informations (ISAC), des équipes d’intervention d'urgence communautaires nationales et régionales (CERTS) et d'autres organisations utilisant des logiciels de gestion des infrastructures
  • Adopter une approche de gestion des risques autour de la vulnérabilité en utilisant :
    1. Un large éventail de moyens de renseignement sur les menaces
    2. Une classification des risques selon différents indicateurs tels que le contexte de l'activité des entreprises et leur sensibilité aux risques
  • Assurer la bonne mise en œuvre du chiffrement lors du stockage, de la transmission et du traitement (tokenisation)
  • Revoir les normes de gestion des risques de la chaîne d'approvisionnement et adopter les meilleures pratiques. L'une des ressources disponibles gratuitement est la norme NIST-SP 800-161 "Supply Chain Risk Management"
  • Mettre en œuvre une stratégie « confiance nulle » basée sur des vérifications de différentes actions
  • Exécuter des plans de continuité des activités et de reprise après sinistre dans le cadre d'exercices
  • Mettre en place des dispositifs avancés de détection des menaces, y compris ceux qui s'appuient sur l'intelligence artificielle
  • Identifier la procédure à suivre pour signaler une infraction au centre local de traitement des plaintes

Ainsi, il n'existe pas qu'une seule méthode pour lutter contre une attaque de la supply chain. La prévention doit tenir compte des personnes et des processus, ainsi que des technologies. Ces éléments doivent être orchestrés par des approches opérationnelles, tactiques et stratégiques. Même avec toutes les précautions, le risque zéro n’existe pas, y compris pour les experts de la cybersécurité. Cela implique une veille constante, permanente et obstinée, pour déjouer la créativité des pirates et renforcer les protections contre les cyberattaques.

Partager


Qui est Atos
Tous les articles de Atos
Leader international de la transformation digitale


Suivre ou contacter Groupe


 
Tous les articles

Sur le même thème

La cybersécurité est-elle encore un métier d’avenir ?
Cybersécurité : les 10 menaces à surveiller en 2023
Télémédecine : une solution aux enjeux de la santé ?
Le cloud : opportunité ou risque pour la cybersécurité ?

Catégories