Quand les services managés deviennent un canal d’attaques
Un fournisseur de services managés allemand aurait subi le vol de 516 Go de données financières et privées de clients, dont Airbus, Volkswagen, Oracle ou SAP. Alors que les grandes entreprises augmentent leurs mesures de sécurité, les prestataires tiers sont parfois le maillon faible permettant aux pirates d'accéder aux donnés de multiples clients.
Les incidents de sécurité affectant les fournisseurs de services IT représentent une menace grandissante pour les entreprises. Dans le cadre d’attaque indirectes (ou attaques par rebond), les systèmes de prestataires IT sont pris pour cible car ils donnent potentiellement accès aux donnés de clients multiples. Selon le blog spécialisé Motherboard, la société allemande Citycomp, qui propose des services managés de maintenance et d'infrastructure multi-fournisseurs, a subi il y a peu un hack causant le vol de données concernant ses clients. Citycomp fournit entres autres ses services à Airbus, Volkswagen, Oracle, Toshiba, SAP et Porsche.
Rançon exigée et non payée
Le ou les hacker aurait mis la main sur plus de 300’000 fichiers représentant plus de 516 Go de données financières et privées. Les données volées incluraient des noms, adresses e-mail, numéros de téléphone ainsi que des notes de réunions avec les clients et des inventaires de matériel informatique. Les auteurs de cette attaque par rebond ont exigé une rançon de 5’000 dollars contre la divulgation des informations volées. Citycomp n’a pas cédé à la demande et les hackers auraient mis leur menace à exécution en publiant les données sur le dark web.
Ce nouveau cas d’attaque indirecte évoque un incident similaire ayant récemment touché le prestataire indien Wipro. Les systèmes du géant de l’outsourcing IT ont été piratés probablement pour mener des attaques contre ses clients, avait révélé le site KrebsOnSecurity. Là encore, les pirates sont passés par un prestataire pour cibler de grandes entreprises. Parmi ses plus de 1’200 clients, Wipro compte des multinationales du Fortune 500.
Le maillon faible de la chaîne d'approvisionnement
Ces incidents seraient réellement de plus en plus fréquent. «Les grandes entreprises ont augmenté leurs mesures de sécurité, de ce fait, il est parfois plus intéressant de s'attaquer au maillon faible de la chaîne d'approvisionnement», explique Pascal Lamia, chef de MELANI (Centrale suisse d'enregistrement et d'analyse pour la sûreté de l'information), contacté par la rédaction. Aujourd'hui, le maillon faible en question est souvent un prestataire qui n'a pas ou insuffisamment implémenté les couches de sécurité nécessaires à se prémunir contre une cyberattaque. «Les risques dans la chaîne d'approvisionnement sont des risques réels que les directions d'entreprises doivent prendre en compte. Il s'agit de convenir de mesures lors de conclusions d'accords entre clients et prestataires et non au moment d'un incident potentiel», met en garde le chef de MELANI.
