La minute du boss : se protéger des attaques sur la supply-chain : le nouveau défi des PME

27 % des entreprises ont vécu un incident de sécurité sur leur infrastructure de cloud public, soit 10 % de plus en 2023 versus 2022. Mais si la grande majorité des grandes entreprises considèrent le cloud comme un pilier de leur stratégie, nombre d'entre elles sont et seront demain victimes de pertes de données et de cyberattaques, allant du déploiement de logiciels malveillants aux attaques par dénis de service distribuées.

Le volume global de données croît très rapidement mais si cette tendance ne devrait pas aller à la baisse, la question de leur localisation, elle, évolue. Si aujourd'hui l'hébergement cloud est essentiellement pensé en capitalisant sur de très grands datacenters, cette tendance devrait évoluer à l'horizon 2025. D'après un rapport de la Commission Européenne, 80 % des données devraient alors être traitées via des IoT, plus proches de l'utilisateur : c'est l'ère du cloud en périphérie, ou du cloud distribué qui débute. De ce fait, les entreprises vont se trouver contraintes de faire évoluer leurs pratiques, et leurs investissements, pour disposer de ces capacités de stockage distribuées. En sus, la question de la menace se pose encore davantage : il est essentiel que les entreprises soient conscientes des menaces opérant sur ces grappes en périphérique, et ce davantage que les pirates peuvent opérer dans ces bases de données et rester invisibles pendant de longues périodes.

En outre, à mesure que les pirates accèdent à des informations plus sensibles, ils risquent de devenir une menace pour les clients finaux directement. C'est d'ailleurs l'une des dispositions posées par la loi DORA pour les entreprises des services financiers, toutefois, toutes les industries en B2P/B2B2C se doivent d'y penser et d'agir sur leur stratégie de sécurité dès maintenant. Les attaques sur la supply-chain sont de plus en plus nombreuses (Solar Winds en 2021 avait été cataclysmique), et le cloud ne devrait pas être épargné.

Le passage d'une stratégie de sécurité pensée pour les datacenters à celle qui se développe sur des infrastructures virtuelles nécessite une compréhension de l'ensemble des points terminaux, y compris des différentes interfaces de programmation d'applications (API), et de l'endroit où ces services sont hébergés. Les API sont un élément essentiel du développement des logiciels modernes et sont de plus en plus adoptées par de nombreuses organisations. Elles permettent à différents systèmes, internes et externes, de communiquer entre eux et de partager des données et des fonctionnalités. Cependant, comme pour tous les aspects de l'informatique, la sécurité des API est une préoccupation essentielle.

Se prémunir contre les menaces potentielles

Que peuvent donc faire les petites comme les grandes entreprises pour gérer leurs environnements cloud et se prémunir contre les cyberattaques pour éviter des attaques visant leurs infrastructures via un tier ? La première chose à faire est de se familiariser avec les certifications desdits fournisseurs tiers. En examinant leurs certifications de sécurité, en comprenant ce qu'elles signifient et en procédant à un examen concret, il est possible de déceler toute anomalie dans leurs dispositifs de sécurité.

Ensuite, les certifications de sécurité s'accompagnent généralement d'une liste spécifique de services et de points de conformité. Les entreprises doivent aussi faire preuve d'une diligence et de comprendre quels services elles utilisent et lesquels sont couverts par ces certifications. Il est recommandé que les entreprises effectuent leurs propres tests de pénétration sur ces services pour s'assurer de leur conformité avec leur stratégie ainsi que leurs obligations légales. Les entreprises doivent également savoir quelle est leur exposition aux risques dans ces domaines, ainsi que chez leurs fournisseurs.

Pour les entreprises qui s'appuient encore sur des technologies telles que les pares-feux, il est intéressant d'explorer l'option de faire évoluer leurs services pour tendre vers une posture plus proactive d'appréhension de la menace. Les organisations doivent examiner les avantages financiers et opérationnels au même titre que les risques associés à ce type de réseau et s'assurer qu'une externalisation s'aligne sur leurs objectifs commerciaux et technologiques dans leur ensemble.

Construire un système robuste dès le départ : la clé évidente

Une petite entreprise migrant une partie de son infrastructure vers le cloud n'était pas la cible première il y a quelques années. Cela s'explique par le peu de migrations opérées alors comme par l'évolution des ambitions et des méthodes des cyberattaquants. Hier, les grands groupes industriels étaient presque les cibles uniques - aujourd'hui, l'ensemble du tissu d'entreprises est concerné, et les 90 % que représentent les TPE/PME deviennent des « investissements prioritaires » pour les cyberattaquants, profitant notamment de leurs manques de moyens humains et technologiques. Aussi, pour cibler cette catégorie d'entreprises, de plus en plus d'attaquants travaillent à des attaques visant le service cloud lui-même. Pour combattre cela, nul autre choix que de penser et bâtir un système cloud le plus robuste possible immédiatement, ce qui passe par le travail d'analyse des offres, des certifications en place, mais aussi des modes d'hébergement eux-mêmes, entre cloud et mode hybride par exemple.

En ce qui concerne la gouvernance interne relative à l'utilisation du cloud, les équipes doivent être en mesure d'anticiper l'attaque, de la connaître et de pouvoir ainsi se prémunir de ses conséquences. Au lieu de considérer la sécurité et surtout l'identification des cyberattaquants comme la phase post-attaque, les équipes peuvent mettre en place certains mécanismes de sécurité sur la chaîne d'approvisionnement logicielle pour s'assurer qu'ils sont tous sécurisés dès le départ peut contribuer grandement à prévenir une attaque.

Si les entreprises reconnaissent qu'une meilleure sécurité est essentielle il s'agit d'une part d'identifier concrètement ses besoins et aussi de trouver l'infrastructure, le modèle qui permettra à l'organisation de rester en sécurité tout en tirant parti d'une « nouvelle modernité ».

Produit Libu

Jérôme Renoux est Regional Vice-Président France chez Akamai Technologies, entreprise qu'il a rejointe il y a plus de 16 ans. Il est également en charge du développement de l'activité commerciale du Digital Media & Entertainment pour l'Europe du Sud & l'Afrique du Nord. Fort de plus de 24 ans d'expérience dans le secteur des technologies de l'information dans la vente de solutions d'entreprise et de sécurité, Jérôme a occupé différents postes de Responsable commercial chez des opérateurs télécom et fournisseurs de solutions d'hébergement à valeur ajoutée. Jérôme est un passionné du monde de l'internet, des médias et nouvelles technologies. Il a commencé sa carrière en créant une web agence web en 1996.