Au plus tard depuis les incendies déguisés en colis, qui ont causé des dégâts dans plusieurs installations DHL l'été dernier, il est clair que la logistique dans les États soutenant l'Ukraine est également une cible pour les campagnes de menaces hybrides qui soutiennent les efforts de guerre russes. Dans une déclaration commune des agences de sécurité internationales, l'Office fédéral pour la sécurité des technologies de l'information (BSI) et l'Office fédéral de protection de la constitution (BfV) avertissent maintenant en particulier le secteur de la logistique des cyberattaques. L'objectif des attaques est de perturber ou même d'empêcher les livraisons vers la zone de guerre. Les moyens utilisés ne sont pas limités aux entreprises impliquées mais touchent également l'infrastructure. Cela inclut notamment l'espionnage des nœuds logistiques, par exemple grâce à un accès non autorisé aux caméras de surveillance connectées au réseau. Les autorités identifient les services secrets russes comme les auteurs de ces attaques. Pour les cyberattaques, cela signifie une autre qualité que les sujets souvent connus des médias comme les ransomwares (logiciels de rançon).
Qualité particulière des attaques
Les cyberacteurs d'État tels que les services secrets et les militaires ne sont généralement pas pressés par le temps et peuvent accéder à des ressources presque illimitées. Leur approche se caractérise par le fait de rester aussi longtemps que possible inaperçus dans un système, où ils volent habituellement des données à des fins d'espionnage. Cependant, l’avertissement actuel indique que, dans ce cas particulier, le sabotage est plutôt au premier plan. Dans la logistique, la défaillance d'une entreprise est seulement un succès partiel pour les attaquants. Cela peut être compensé temporairement en se tournant vers d'autres logisticiens.
C'est pourquoi on s'attend à une approche différente : rester aussi longtemps que possible inaperçu dans le système et créer le chaos par des interventions manipulatrices. Lorsque l'on pense, par exemple, à l'entreposage entièrement automatisé ou au transport de marchandises sensibles, les facteurs tels que la température, le stockage et le temps jouent un rôle important. La composition des documents de fret est parfois si automatisée que de petites erreurs dans la date ou les adresses ne sont même pas remarquées ou sont attribuées à une défaillance humaine. Les marchandises (par exemple, les aliments ou les médicaments) arrivent alors soit en retard, soit déjà avariées.
Toutefois, les schémas d'attaque déjà connus de la criminalité peuvent également être intéressants pour les acteurs étatiques : s'il est possible, grâce à l'accès aux systèmes, de suivre en temps
réel l'emplacement d'une cargaison intéressante, il est alors facile de l'intercepter délibérément. En outre, des cas sont connus où l'origine et la nature des marchandises ont été dissimulées par manipulation des systèmes informatiques et où des livraisons entières avec des marchandises de contrebande ont « disparu ». Une telle approche est également envisageable pour les services de renseignement. L’objectif de la sécurité informatique est donc de détecter le plus rapidement possible toute activité inhabituelle dans le système par des moyens tels que la reconnaissance d'anomalies. Voyons donc d'abord comment les auteurs procèdent :
La porte d'entrée : l'attaquant est déjà à l'intérieur
La plupart des cyberattaques commencent par un e-mail contenant un lien ou une pièce jointe malveillante. Les mesures de défense incluent donc régulièrement la formation des employés afin de réduire la probabilité qu'ils tombent dans une telle attaque. Mais il y a un hic : plus l'attaque est sophistiquée, plus elle est difficile à détecter pour les employés. Le mot magique est "confiance" : ainsi, les e-mails malveillants ne sortent pas de nulle part, mais proviennent d'un contact de confiance. Un client ou un ami d'affaires, dans certains cas même des comptes privés de membres de la famille proches qui ont été préalablement compromis par les auteurs. Dans l'e-mail lui-même, il est fait référence à une communication précédente ou le message est directement lié à cette dernière.
Souvent, les attaques visent à voler des identifiants de connexion tels que des noms d'utilisateur et des mots de passe, à l'aide desquels les auteurs accèdent aux systèmes. Pour atténuer le danger, une authentification multifactorielle devrait être mise en place pour tous les comptes utilisateurs. Néanmoins, il faut malheureusement supposer que les attaquants étatiques trouveront le moyen de contourner ces mesures. L’accent de la sécurité informatique devrait donc être mis sur la détection de comportements inhabituels sur le réseau et répondre en conséquence (Détection & Réponse).
La chaîne d'approvisionnement numérique
Un autre point d'entrée est constitué par les interfaces numériques : aujourd'hui, la saisie des commandes peut être entièrement automatisée. Le client, souvent même son usine automatisée, génèrent des demandes ou des livraisons de marchandises qui sont directement appliquées au logisticien. Ce pont logiciel est une source de danger potentiel pour les deux entreprises. L'injection de logiciels malveillants n’est pas le seul défi. Cela devient beaucoup plus difficile lorsque le logiciel, en raison d'une manipulation externe, livre des résultats erronés. En outre, il existe des possibilités d'accès informatiques dans
les systèmes respectifs de l'autre entreprise qui dépendent du logiciel utilisé. Mais l'expérience montre qu'il est préférable de supposer l'existence de failles de sécurité et de prendre les précautions de sécurité appropriées, par exemple une segmentation du réseau.
Dangers des prestataires et des employés
Des connexions directes peuvent également constituer une menace potentielle : le personnel de nettoyage externe se trouve souvent dans les locaux en dehors des heures de bureau, tandis que les techniciens de service travaillent souvent sans surveillance sur les machines et les installations. Il est alors très facile de connecter de nouveaux appareils, comme une clé USB contenant des contenus malveillants. Toutefois, les employés apportent souvent leurs propres appareils tels que des points d'accès et des routeurs dans le réseau, souvent non pas par malveillance, mais pour se faciliter la vie. Néanmoins, ils constituent des points d'entrée potentiels par lesquels le système sous-jacent peut être infiltré. La plupart des solutions de sécurité offrent des moyens de les interdire ou de n'autoriser que les supports de stockage certifiés. Les entreprises devraient en faire usage.
Administrateurs et droits d'accès
Les administrateurs informatiques sont confrontés au défi de devoir constamment adapter leurs connaissances aux développements rapides de l'informatique tout en s'efforçant d'accomplir un maximum de tâches dans l’entreprise. Cela devient de plus en plus complexe à mesure que l'informatique est utilisée. Ainsi, la limite des capacités humaines est rapidement atteinte. Il est alors tentant de rendre la vie plus simple, par exemple en utilisant des mots de passe faciles à retenir ou des méthodes d'accès rapides, bien que l'on sache qu'ils sont potentiellement risqués.
Les attaquants recherchent spécifiquement ces « solutions de contournement ». S'ils existent, ils sont utilisés pour accéder aux droits d'accès des administrateurs. Les attaquants peuvent alors créer leurs propres comptes et les équiper des mêmes droits ou simplement prendre le contrôle des comptes existants. Il est donc important de segmenter les zones du réseau et de limiter les droits des membres du personnel et des administrateurs. Mais des discussions ouvertes et honnêtes sur les limites de ses propres capacités sont également importantes. Des employés surchargés dans l'informatique et la sécurité informatique sont parmi les défis les plus fréquents dans la lutte contre les cyberattaques !
Logistique et infrastructure critique
Compte tenu de leur importance réelle pour le fonctionnement de l'économie et de la société, il peut sembler surprenant que dans le domaine du transport et du trafic, seuls les opérateurs de points nodaux
et d'infrastructure soient soumis à la nouvelle directive NIS2 de l'UE, mais pas beaucoup d'entreprises de logistique. Cette directive décrit les mesures de sécurité informatique obligatoires pour les entreprises dans certains secteurs à partir de 50 employés (et 10 millions d'euros de chiffre d'affaires annuel).
En outre, ces entreprises sont invitées à inclure l'ensemble de leur chaîne d'approvisionnement dans leur mise en œuvre de la sécurité informatique. À ce stade, la nouvelle directive concerne justement et en particulier le secteur de la logistique, dont l'échec aurait des répercussions sur pratiquement tous les autres secteurs. Bien que la mise en œuvre nationale de la NIS2 en Allemagne soit retardée en raison du changement de gouvernement, les entreprises commencent déjà ici à discuter des questions de cybersécurité avec leurs logisticiens. Là où les entreprises dépendent des méthodes "Juste à Temps/Juste à la Suite" ou travaillent dans le domaine des marchandises dangereuses, cela devrait déjà être la norme.
Conclusion
Se trouver dans la ligne de mire des acteurs étatiques peut sembler menaçant au premier abord et ne devrait pas être sous-estimé. Pourtant, avec une stratégie de cybersécurité raisonnablement mise en place et exploitée, on a de bonnes chances de reconnaître et de contrer de telles cyberattaques. Il est important de comprendre que le premier point d'entrée dans un réseau est souvent le résultat d'efforts considérables de la part des auteurs. Pour les acteurs étatiques, il faut donc s'attendre à ce qu'ils réussissent finalement à contourner même les meilleures défenses.
Les logisticiens servent non seulement de cible de sabotage pour les cyberattaquants, en limitant leurs capacités de transport, mais aussi de point d'entrée pour leurs clients grâce à leur position de confiance et leurs interfaces numériques. Une stratégie de cybersécurité propre, axée sur la détection et la réponse aux attaques (« Détection & Réponse ») ainsi que la collaboration active avec les clients en matière de cybersécurité améliorent donc non seulement leur propre niveau de protection mais servent également à établir la confiance. En outre, des stratégies devraient être présentes pour s'informer mutuellement des cyberattaques réussies et y faire face.
L'auteur
En tant que conseiller en sécurité, Richard Werner sensibilise les responsables de la sécurité informatique des grands clients d'entreprise à la stratégie de Trend Micro, notamment en ce qui concerne les menaces cybernétiques actuelles. Avant de rejoindre Trend Micro, Richard Werner a acquis de l'expérience professionnelle dans les secteurs de l'alimentation et de la logistique et est formé en tant qu'agent
