Dans une interview accordée à GEODIS, Mo Cashman, l’un des dirigeants de Trellix, passionné par la cybersécurité, revient sur sa compréhension du cyber-risque, tel qu’il s’applique aux entreprises de logistique et de transport et sur la manière dont elles doivent réagir pour le maîtriser. Il partage également son point de vue sur la souveraineté et la sécurité des données aujourd’hui.
Trellix est le nom du nouveau géant mondial de la cybersécurité issu de la fusion entre McAfee Enterprise et FireEye (octobre 2021).

 

Quelles mesures contre les cyberattaques une entreprise de logistique et de transport doit-elle mettre en place pour protéger ses clients ?

Le secteur des transports est confronté aux mêmes menaces que la plupart des entreprises numériques. Cependant, en raison de son importance pour l’infrastructure et l’économie et de son utilisation d’applications conçues pour le cloud, nous observons des ransomwares et des attaques contre ces applications cloud qui menacent la résilience de ce secteur.

Récemment, l’utilisation de Ransomware as a Service a été un moyen redoutable de perturber les opérations commerciales. Le secteur des transports a été le deuxième secteur le plus ciblé par les ransomwares au cours du dernier trimestre (source : Trellix Threat Intelligence).

 

top customer sectors with ransomwear

 

Il est important de comprendre qu’un ransomware ne commence pas par le chiffrement. La plupart des menaces utilisant des ransomwares constituent aujourd’hui des attaques en plusieurs étapes. Pour s’en protéger, de nombreuses organisations ont déjà mis en place les contrôles adéquats, tels que la sécurité des terminaux, l’EDR, les proxys Web sécurisés et la sécurité du courrier électronique. Cependant, elles disposent rarement d'un SOC ayant des capacités de détection et de réponse aux menaces pour détecter l’attaque en cours; ou de l'investissement dans une capacité XDR pour améliorer la détection et répéter les processus de réponse aux incidents afin de favoriser la résilience contre les ransomwares.

Les API et les applications conçues pour le cloud constituent un autre vecteur d’attaque important pour les entreprises de transport. Aujourd’hui, plus de 80 % de l’ensemble du trafic Internet appartient à des services basés sur des API. Les applications cloud (SaaS, PaaS ou IaaS) ont transformé la façon dont les API sont généralement conçues, utilisées et exploitées par les développeurs de logiciels. Les API sont devenues l’épine dorsale de la plupart des applications modernes que nous utilisons aujourd’hui. La portée et la popularité de certaines de ces applications cloud, ainsi que les données critiques précieuses qu’elles contiennent, font des API une cible lucrative pour les acteurs des menaces. La nature connectée des API introduit potentiellement des risques supplémentaires pour les entreprises, car elles deviennent un vecteur d’entrée pour des attaques plus vastes de la chaîne d’approvisionnement. Dans la plupart des cas, les attaques sur les API passent inaperçues, car elles sont généralement considérées comme des canaux de confiance et ne bénéficient pas du même niveau de contrôle de la gouvernance et de la sécurité.

Comment réagir ? Dans ce contexte, la priorité pour les organisations est d’obtenir de la visibilité sur l’utilisation des applications et d’examiner les API consommées, pour disposer à terme d’un inventaire fondé sur les risques des API utilisées et d’une politique de gouvernance destinée à contrôler l’accès à ces services. Les entités non basées sur l’utilisateur au sein de l’infrastructure, telles que les comptes de service et les principes d’application qui intègrent les API dans l’écosystème plus large de l’entreprise, doivent également être prises en compte.

Pour les développeurs, l’élaboration d’un modèle de menaces efficace pour leurs API et la mise en œuvre d’un mécanisme de contrôle d’accès strict, basé sur le « Zero Trust » sont fondamentales ; de même, une journalisation des événements et une télémétrie efficace doivent être mises en place pour mieux répondre aux incidents et détecter les utilisations malveillantes.

Une entreprise de transport doit protéger les données de ses clients et maintenir leur disponibilité afin de répondre à leurs besoins. Pour ce faire, de meilleurs contrôles des ransomwares et de la sécurité du cloud sont des outils essentiels pour améliorer le niveau de protection.

Points-clé en matière de sécurité à prendre en compte lors du codage

  1. Mauvaise configuration des API entraînant une exposition indésirable des informations.
  2. Exploitation des mécanismes d’authentification modernes comme Oauth/Golden SAML pour obtenir l’accès aux API et persister dans les environnements ciblés.
  3. Evolution des attaques traditionnelles par des logiciels malveillants, qui utilisent davantage les API du cloud, telles que l’API Microsoft Graph, pour s’installer et se développer. Nous en avons déjà eu la démonstration avec l’attaque de Solarwinds, ainsi qu’avec d’autres acteurs de menaces, par exemple APT40/ GADOLINIUM.
  4. Utilisation abusive potentielle des API pour lancer des attaques sur les données de l’entreprise, comme les ransomwares sur les services de stockage dans le cloud tels que OneDrive, etc.
  5. L’utilisation d’API pour l’infrastructure software-defined implique également un risque d’utilisation abusive conduisant à une prise de contrôle complète de l’infrastructure ou à la création d’une infrastructure fantôme à des fins malveillantes.

 

Face au déploiement de l’IOT sur toute la chaîne logistique et dans le contexte d’un écosystème étendu, comment une entreprise de logistique et de transport peut-elle maîtriser le cyber-risque ?

Le « Zero Trust »et la cyber-résilience sont deux principes de sécurité que les entreprises de transport devraient adopter pour leur stratégie de gestion des risques.

La publication spéciale du NIST définit le Zero Trust comme un ensemble évolutif de paradigmes de cybersécurité qui déplace la défense, depuis les périmètres statiques basés sur le réseau pour se concentrer sur les utilisateurs, les actifs et les ressources. Le Zero Trust exige qu’aucune confiance implicite ne soit accordée aux actifs sur la seule base de leur segment physique ou réseau. Cela s’applique parfaitement aux dispositifs IOT, par exemple.

La cyber-résilience, quant à elle, est la capacité d’une organisation à adapter en continu une posture de sécurité, à détecter les menaces et à y répondre rapidement afin de fonctionner efficacement dans des conditions de crise. La cyber-résilience exige aujourd’hui une architecture de sécurité fondée sur le Zero Trust, qui s’associe à d’autres pratiques reposant sur la continuité d’activité et la protection de l’information, afin de permettre à une organisation d’être résiliente. Les entreprises de transport, tout comme celles du secteur de la santé ou les usines, sont considérées comme des infrastructures essentielles pour de nombreux pays dans le monde. Leur capacité à fonctionner en cas de cyberattaque visant la technologie opérationnelle ou les services hébergés dans le cloud sera déterminante pour la réussite et la résilience de l’entreprise.

Le Zero Trust étant un principe et une stratégie d’architecture, sa mise en œuvre peut ressembler à un long parcours. Toutefois, voici quelques bons points de départ :

Mettre en œuvre la surveillance continue de tous les systèmes de l’entreprise. La surveillance ne doit pas se limiter à la collecte et au stockage de journaux, mais plutôt à une surveillance proactive des activités malveillantes potentielles dans l’ensemble de l’entreprise, des changements ou des vulnérabilités dans les systèmes ou services critiques, et des activités anormales des utilisateurs.

Obtenir le plus d’informations possible sur les actifs et les services de l’entreprise. La découverte et la compréhension des actifs doivent aller au-delà des systèmes gérés par l’informatique et des appareils des utilisateurs finaux. Selon les principes de confiance zéro, toutes les sources de données et les services de calcul sont des ressources. Ainsi, la découverte et la compréhension des actifs doivent s’étendre aux services cloud, au BYOD, aux automates appartenant aux fournisseurs, aux systèmes accédant aux ressources et aux données de l'entreprise appartenant aux employés et aux fournisseurs.

Éliminer les zones de confiance et les ressources des micro-segments. Un principe clé du Zero Trust est de ne pas accorder l’accès aux ressources de l’entreprise uniquement en fonction de l’emplacement ou du segment de réseau. Si ce principe est particulièrement important entre le lieu de travail et les systèmes industriels, il s’étend également aux réseaux d’accès à distance des fournisseurs ou des employés, ainsi qu’à la micro-segmentation entre les systèmes critiques de l’entreprise et les systèmes de sécurité.

 

Quel regard portez-vous sur la sécurité et la souveraineté des données, qui sont de plus en plus stockées sur des infrastructures cloud, propriétés de grandes sociétés américaines et bientôt chinoises, pour lesquelles les moyens de contrôle restent faibles ?

Il s’agit d’une question difficile et je pense que nous devons adopter une approche en trois étapes.

Premièrement, la protection des données des clients contre le vol par des menaces externes, indépendamment des plateformes d’hébergement de l’infrastructure cloud ou de leur propriétaire, est à mon avis la priorité numéro un. Il s’agit d’une responsabilité partagée entre le propriétaire des données (la société de transport) et le fournisseur de services cloud. Les entreprises de transport doivent s’assurer que les applications conçues pour fonctionner sur des plateformes cloud sont sécurisées et que l’accès est surveillé pour détecter tout signe de violation. Quant aux fournisseurs de services cloud, ils doivent s’assurer que les composants IaaS et PaaS sont sécurisés et fournir les certifications tierces nécessaires comme preuve des contrôles appropriés.

Deuxièmement, les propriétaires de données et d’applications doivent veiller à ce que les applications qui alimentent les systèmes IOT soient conçues dans le respect de la vie privée. La réduction de la collecte de données aux seuls éléments nécessaires, la protection des données par le cryptage et la conformité aux réglementations locales en matière de protection de la vie privée, comme le RGPD ou la loi Popia seront essentielles pour gérer le risque.

Enfin, les organismes gouvernementaux, les fournisseurs de services cloud et l’industrie devraient collaborer pour garantir une compréhension commune des frontières numériques et des solutions permettant de répondre aux exigences réglementaires, sans mettre en péril la souveraineté des données ou la confidentialité.

 

 

401 views