A l’occasion de la présentation de son rapport annuel, le lundi 15 avril 2019, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a une nouvelle fois prouvé que le risque numérique se doit d’être au cœur de nos préoccupations.

En 2018, l’ANSSI a ainsi recensé 1 869 signalements, 391 incidents hors opérateurs d’importance vitale, 16 incidents majeurs et mené 14 opérations de cyber-défense {1}.

Mais parmi les grandes tendances révélées par ce rapport, l’Agence insiste particulièrement sur la hausse des attaques dites « indirectes » ou « supply chain attack ». Celles-ci représentaient environ 50% des incidents constatés en 2018.

Quel constat ?

Les grands groupes sont effet aujourd’hui devenus la cible indirecte des cyber-attaquants, qui choisissent désormais de compromettre leurs partenaires commerciaux (fournisseurs, prestataires etc.) afin d’exploiter la relation de confiance qui les unit.

S’introduire chez ces intermédiaires au lieu de viser directement la cible véritable leur permet ainsi de contourner les mesures de sécurité de très grandes organisations, lesquelles sont de plus en plus conscientes du risque numérique.

« Rentrer par la porte est devenu plus compliqué » précise Guillaume Poupard, directeur général de l’ANSSI. La menace que représentent ces attaques indirectes augmente donc au fur et à mesure que les cibles finales se sécurisent explique le rapport.

Cette technique est en plus susceptible de multiplier le retour sur investissement des cyber-attaquants puisque l’accès à un seul intermédiaire suffit parfois à obtenir un accès privilégié à plusieurs cibles.

En pratique, le cyber-attaquant se renseigne sur la cible, prépare son infiltration afin de pénétrer le système d’information de l’intermédiaire, puis attend le moment opportun (la veille d’un closing par exemple) afin de récolter des ressources clés.

Ce schéma a notamment été suivi lors de la cyber-attaque qui a visé Airbus au mois de janvier 2019. Les pirates ont ainsi commencé par infiltrer les systèmes informatiques de l’un des fournisseurs français afin d’accéder à certaines données à caractère personnel du groupe aéronautique.

Comment gérer une cyber-attaque ?

Si les cyber-attaquants se montrent particulièrement créatifs pour faire évoluer la menace dans sa forme, comment l’entreprise doit-elle alors gérer le potentiel contentieux qui pourrait l’opposer à l’intermédiaire en question ?

Une réponse presque intuitive serait d’immédiatement rechercher la responsabilité du fournisseur ou prestataire en vue d’obtenir une éventuelle indemnisation. Une telle démarche aurait cependant l’inconvénient de placer l’intermédiaire dans une « position défensive » faisant ainsi obstacle au recueil des preuves nécessaires à l’établissement de sa responsabilité.

Un travail préalable d’identification du point d’intrusion initial, de compréhension de l’étendue de la faille, et de collecte des preuves apparait ainsi primordial à la réussite de la procédure contentieuse. Cela passe alors inévitablement par une coordination renforcée avec le fournisseur ou prestataire concerné.

La gestion d’une cyber-attaque nécessite donc l’implication de tous les acteurs internes comme externes.

En amont de tout incident, il convient toutefois de préciser que l’ANSSI accompagne entreprises et administrations dans leurs choix d’intermédiaires par la certification des fournisseurs et prestataires.

En juin 2018, l’Agence a ainsi remis ses premiers « Visas de sécurité » à 36 prestataires de services informatiques.

Ces Visas permettent à la fois aux entreprises d’identifier facilement les solutions de sécurité fiables mais constituent aussi pour les intermédiaires une réelle valeur ajoutée concurrentielle, gage de compétitivité.

_{{1} Rapport annuel 2019, Agence Nationale de la Sécurité des Systèmes d’information, p.8}