SolarWinds : quels enseignements tirer de la cyberattaque ?

Fin décembre 2020 : la cyberattaque dont a été victime SolarWinds est l’une des plus spectaculaires de ces dernières années dans l’Histoire des cyberattaques. Les pirates informatiques ont ciblé la supply chain afin de compromettre la suite logiciel Orion.

 

De plus en plus sophistiquées, les cyberattaques de ces dernières années se font à grande échelle et exploitent les faiblesses de la mise en œuvre des processus de gestion de la supply chain (chaîne d'approvisionnement). L’attaque contre la suite logicielle Orion de SolarWinds se distingue par le fait que les pirates ont ciblé cette chaîne pour contourner les dispositifs traditionnels de surveillance et de détection de l’entreprise. L’infrastructure de production de SolarWinds a été compromise et les hackers ont utilisé cet accès pour distribuer des mises à jour du logiciel piraté aux clients de SolarWinds.

Cet événement est d’autant plus important que l’entreprise texane, éditrice de logiciels de gestion des réseaux, des systèmes et infrastructures informatiques, possède une base de données de 300 000 clients, dont le gouvernement fédéral américain, 80 % des entreprises du Fortune 500 et divers clients dans le monde entier.

Ce qui s’est exactement passé 

Les pirates ont utilisé un logiciel malveillant perfectionné de type « zero-day » pour compromettre les serveurs de production de SolarWinds, qui pouvaient s'identifier lorsqu'ils étaient installés sur un système de développement et attendaient que le développeur accède à des fichiers de code source spécifiques d'Orion. Le virus s'est alors activé pour remplacer l'un des fichiers sources afin d'inclure le code de la porte dérobée SUNBURST, en insérant le code malveillant dans la mise à jour du logiciel légitime. Les clients de SolarWinds ont ainsi involontairement installé le logiciel malveillant en mettant à jour leur plateforme Orion. Cette méthode d'attaque est généralement connue sous le nom d'attaque de la supply chain, car elle touche à la chaîne toutes les entreprises qui utilisent un logiciel de confiance contenant un malware.

Par ailleurs, les pares-feux, les dispositifs de détection d'intrusion et autres solutions de surveillance étaient sans doute limités dans leur capacité à détecter l'attaque et à permettre une réponse rapide à l'intrusion. Bien que l'incident ait pris de l'importance en décembre 2020 après les révélations de FireEye, les premiers rapports indiquent que l'attaque pourrait avoir commencé dès septembre 2019. SolarWinds et ses clients ont probablement été exposés pendant des mois jusqu'à ce que l'incident soit rendu public.

Les experts informatiques savent déjà qu'ils doivent appliquer les plus récents processus de gestion de la supply chain, et notamment comprendre comment leurs prestataires gèrent la sécurité. Ils doivent également veiller à ce que leur programme de qualité inclue des principes de développement sûrs et des processus de gestion des mises à jour efficaces (en plus d'autres normes largement reconnues). Toutefois, étant donné la technicité de cette attaque, il convient de se demander si les pratiques conventionnelles de gestion de la supply chain permettent de gérer correctement les risques liés à des incidents comme celui de SolarWinds.

Que faire pour s’assurer d’être protégé ?

« Afin de se prémunir contre des pirates informatiques de plus en plus créatifs, il est nécessaire d’aller au-delà des pratiques conventionnelles. » Dan Schaupner, directeur Digital Innovation Development, Digital Security Consulting Atos, précise : « nous nous appuyons sur des procédures de sécurité régulières et sur les informations partagées par nos services de sécurité pour anticiper et répondre aux menaces. »

Ce cas sans précédent est l'occasion pour les RSSI et les personnes responsables de la sécurité informatique des entreprises de comparer leur grille d'intervention à celle-ci :

  • Examiner régulièrement les renseignements provenant des centres d'analyse et de partage des informations (ISAC), des équipes d’intervention d'urgence communautaires nationales et régionales (CERTS) et d'autres organisations utilisant des logiciels de gestion des infrastructures
  • Adopter une approche de gestion des risques autour de la vulnérabilité en utilisant :
    1. Un large éventail de moyens de renseignement sur les menaces
    2. Une classification des risques selon différents indicateurs tels que le contexte de l'activité des entreprises et leur sensibilité aux risques
  • Assurer la bonne mise en œuvre du chiffrement lors du stockage, de la transmission et du traitement (tokenisation)
  • Revoir les normes de gestion des risques de la chaîne d'approvisionnement et adopter les meilleures pratiques. L'une des ressources disponibles gratuitement est la norme NIST-SP 800-161 "Supply Chain Risk Management"
  • Mettre en œuvre une stratégie « confiance nulle » basée sur des vérifications de différentes actions
  • Exécuter des plans de continuité des activités et de reprise après sinistre dans le cadre d'exercices
  • Mettre en place des dispositifs avancés de détection des menaces, y compris ceux qui s'appuient sur l'intelligence artificielle
  • Identifier la procédure à suivre pour signaler une infraction au centre local de traitement des plaintes

Ainsi, il n'existe pas qu'une seule méthode pour lutter contre une attaque de la supply chain. La prévention doit tenir compte des personnes et des processus, ainsi que des technologies. Ces éléments doivent être orchestrés par des approches opérationnelles, tactiques et stratégiques. Même avec toutes les précautions, le risque zéro n’existe pas, y compris pour les experts de la cybersécurité. Cela implique une veille constante, permanente et obstinée, pour déjouer la créativité des pirates et renforcer les protections contre les cyberattaques.

Partager


Qui est Atos

Partenaire de Confiance de votre Transformation Digitale


Suivre ou contacter Groupe