Extension de l'authentification des e-mails aux fournisseurs tiers
Les organisations, grandes et petites, s'appuient sur des fournisseurs sous contrat pour leur fournir les biens et services nécessaires à la réussite de leurs opérations. Et cela s'accompagne d'une interconnectivité numérique de plus en plus grande entre une entreprise et ses fournisseurs.
Si votre entreprise est un modèle de cybersécurité, avec des pratiques exemplaires en place et en constante évolution pour faire face au paysage dynamique des menaces, les fournisseurs tiers de votre chaîne d'approvisionnement et de services n'ont peut-être pas la même position en matière de sécurité. Les attaques par hameçonnage n'ayant jamais été aussi nombreuses, les entreprises doivent s'assurer que les partenaires de leur chaîne d'approvisionnement adhèrent aux meilleures pratiques en matière de sécurité des e-mails. Il est important de gérer les partenaires tiers, qu'il s'agisse d'un fournisseur de services de nettoyage, d'un grossiste de produits de détail ou d'un fournisseur de services gérés.
Prenons l'exemple de la violation des données de Target qui s'est produite à la suite de la compromission de l'un de ses fournisseurs. Voici ce qui s'est passé : un employé de l'entreprise de réfrigération de Target a cliqué sur un courriel d'hameçonnage qui a installé un logiciel malveillant sur le réseau du fournisseur. Les cybercriminels ont ensuite volé les identifiants de connexion du fournisseur et ont réussi à accéder au réseau de Target. Il va sans dire que l'entrepreneur en réfrigération n'avait pas mis en place les protections de cybersécurité nécessaires pour reconnaître ou prévenir l'incident de phishing.
Lorsqu'ils ont eu accès au réseau de Target, les attaquants ont piraté les terminaux de point de vente (POS) et ont collecté des dizaines de millions d'enregistrements de cartes de crédit par le biais de transactions POS. Les dommages causés par l'attaque via un fournisseur tiers ont laissé Target responsable d'une opération de nettoyage massive, allant de la sécurité supplémentaire aux frais juridiques et à la surveillance du crédit pour des millions de clients. En ce qui concerne la gestion des fournisseurs, Target a revu et limité les privilèges du réseau des fournisseurs, amélioré les systèmes de surveillance des points de vente et formé les employés à la gestion des mots de passe.
Les organisations de toutes tailles sont concernées
Nous n'entrerons pas dans les détails d'autres exemples, mais Solar Winds, Kaseya et Domino's Pizza peuvent vous rappeler quelque chose. Et nous devons mentionner que toutes les attaques de la chaîne d'approvisionnement ne sont pas toujours de l'ampleur de la violation massive de Target. Par exemple, vous pouvez être propriétaire d'un petit magasin de vélos et recevoir une facture par courrier électronique d'un prétendu fournisseur. Si ce fournisseur n'a pas mis en place une authentification correcte des e-mails, comme SPF, DKIM et DMARC, un criminel peut exploiter le domaine de l'e-mail et envoyer une fausse facture et un lien de paiement qui redirige les fonds vers son compte bancaire. Sans DMARC et ses contrôles d'authentification sous-jacents, les attaquants peuvent se faire passer pour des organisations légitimes, causer des pertes financières et éroder la confiance des marques.
Une étude réalisée par Blue Voyant en 2021 illustre le risque associé aux fournisseurs tiers non sécurisés. Sa deuxième enquête mondiale annuelle sur la gestion des cyber-risques liés aux tiers a révélé que "97 % des entreprises interrogées ont subi l'impact négatif d'une violation de la cybersécurité survenue dans leur chaîne d'approvisionnement. Quatre-vingt-treize pour cent ont admis avoir subi une violation directe de la cybersécurité en raison de faiblesses dans leur chaîne d'approvisionnement, et le nombre moyen de violations subies au cours des 12 derniers mois est passé de 2,7 en 2020 à 3,7 en 2021 - une augmentation de 37 % d'une année sur l'autre.
"Auditer ou envoyer des questionnaires à votre chaîne d'approvisionnement est important, mais pas suffisant, pour rester en tête des attaquants agiles et persistants", déclare le PDG de Blue Voyant. "Une surveillance continue et une action rapide contre les vulnérabilités critiques nouvellement découvertes constituent un élément essentiel pour une gestion efficace des risques liés aux tiers."
Le phishing reste la méthode d'attaque privilégiée des cybercriminels. Une façon pour vous et les fournisseurs de votre chaîne d'approvisionnement de lutter contre ce dilemme omniprésent est d'activer l'authentification fondamentale des e-mails dans le cadre de votre stratégie de gestion des fournisseurs. Déployer DMARC et demander aux fournisseurs de votre chaîne d'approvisionnement de faire de même est un moyen pour tous de faire confiance aux messages électroniques sensibles qui circulent entre vous et vos partenaires commerciaux.
Nous sommes là pour aider les gens à comprendre et à déployer DMARC, alors faites-nous savoir si vous avez des questions sur DMARC et l'authentification des e-mails pour vos fournisseurs.
Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien
