swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Rapport semestriel du Centre national pour la cybersécurité : focus sur les attaques contre la chaîne d’approvisionnement

Pauline Meyer, le 12 mai 2022
Le 5 mai 2022, le NCSC a publié son troi­sième rapport semes­triel (Rapport semes­triel 2021/​II « Sécurité de l’information. Situation en Suisse et sur le plan inter­na­tio­nal »). Le thème prio­ri­taire porte sur les attaques contre la chaîne d’approvisionnement des produits informatiques.

Le Centre natio­nal pour la cyber­sé­cu­rité (NCSC) a publié son troi­sième rapport semes­triel pour la période de juillet à décembre 2021. Il traite prin­ci­pa­le­ment des attaques contre la chaîne d’approvisionnement, avant de parcou­rir, comme dans ses rapports précé­dents, les évène­ments portés à sa connais­sance durant la période susmen­tion­née. Il attire l’attention sur l’importance de l’ingénierie sociale dans le cadre des évène­ments signalés.

Les attaques contre la chaîne d’approvisionnement (supply chain) peuvent engen­drer des consé­quences drama­tiques, en visant un cercle limité de cibles ou en se propa­geant à plus large échelle. De nombreuses entre­prises colla­borent avec plusieurs parte­naires four­nis­sant des matières premières, tech­no­lo­gies ou pres­ta­tions permet­tant d’aboutir à un produit final ou d’être inté­grées à une pres­ta­tion. La chaîne d’approvisionnement englobe toute la chaîne de créa­tion de valeur. Une attaque chez l’un de ces parte­naires peut se réper­cu­ter sur les autres socié­tés voire sur les consom­ma­teurs finaux. L’un des maillons du proces­sus de créa­tion de valeur peut servir de porte d’entrée à un atta­quant (attaque via la chaîne d’approvisionnement) ou une attaque peut cher­cher l’interruption de la chaîne d’approvisionnement (attaques contre la chaîne d’approvisionnement).

Le NCSC illustre notam­ment cette problé­ma­tique avec la compro­mis­sion d’un pres­ta­taire autri­chien en septembre 2021 par un rançon­gi­ciel cher­chant à cibler les PME clientes du pres­ta­taire. En paral­lèle, les attaques DDoS visant une société d’hébergement abri­tant le site inter­net du canton de Saint-Gall ont entravé la dispo­ni­bi­lité de plusieurs sites de clients.

Ces exemples montrent que les rela­tions avec les four­nis­seurs et pres­ta­taires doivent être régu­liè­re­ment évaluées à la lumière du profil de risque. Le NCSC recom­mande aux petites entre­prises ne dispo­sant pas de leurs propres spécia­listes de couvrir contrac­tuel­le­ment les risques avec les parte­naires externes si un risque accru existe pour l’entreprise.

Le NCSC parcourt ensuite les évène­ments portés à sa connais­sance durant le second semestre de l’année 2021. Le Centre indique avoir enre­gis­tré 21 714 annonces, soit le double de ce qu’il avait reçu durant le premier semestre de l’année. Ce nombre élevé s’explique notam­ment par l’introduction du nouveau formu­laire du NCSC que toujours plus de personnes utilisent, ainsi que par une recru­des­cence notable de certains phénomènes.

Les évène­ments signa­lés au NCSC présentent régu­liè­re­ment une part d’ingénierie sociale. Grâce à la sensi­bi­li­sa­tion auprès des inter­nautes, le taux de réus­site des escrocs dimi­nue. Ces derniers cherchent à mieux susci­ter la confiance de leurs cibles, parfois en perpé­trant des attaques plus indi­vi­dua­li­sées ou en combi­nant diffé­rentes tech­niques d’ingénierie sociale.

Les fraudes consti­tuent les évène­ments les plus signa­lés, avec un nombre impor­tant de cour­riels prove­nant préten­du­ment d’autorités, notam­ment pénales, exigeant le paie­ment d’amendes ou de cautions.

Les cas de phishing, égale­ment élevés, consistent typi­que­ment en des noti­fi­ca­tions de colis récla­mant des émolu­ments au nom de services de livrai­son ou de l’Administration fédé­rale des douanes. Certains auteurs de phishing créent des sites inter­net d’entreprises de livrai­son, conçus indi­vi­duel­le­ment pour un produit, inci­tant les vendeurs sur des sites de petites annonces à dépas­ser leur scep­ti­cisme et à parta­ger leurs données de carte de crédit sur le site.

Dans le cadre d’arnaques aux senti­ments et au lieu de conti­nuer de deman­der de l’argent aux lésés, certains escrocs vont se faire passer pour riches et faire miroi­ter un gain impor­tant à leurs cibles. Ils partagent leurs « connais­sances » avec ces dernières pour qu’elles inves­tissent sur une préten­due plate­forme de place­ment et « gagnent des sommes impor­tantes », alors que le titu­laire du site inter­net et l’escroc collaborent.

Le NCSC parcourt égale­ment les mali­ciels prin­ci­pa­le­ment utili­sés ces derniers mois, dont Flubot, lequel fait parve­nir par SMS un lien renvoyant préten­du­ment vers un message vocal, ou encore Gootkit, mali­ciel spécia­lisé dans le vol de données bancaires par des campagnes de spams et par des sites inter­net compro­mis inci­tant les utili­sa­teurs à télé­char­ger le programme.

Le NCSC émet systé­ma­ti­que­ment des recom­man­da­tions à l’attention des parties prenantes. Au niveau de la popu­la­tion, la préven­tion demeure primor­diale. Alors que le taux de réus­site d’escroquerie dimi­nue en raison notam­ment de cette sensi­bi­li­sa­tion, les acteurs malveillants redoublent d’efforts. L’attention portée par les citoyens doit s’aligner avec ces évolu­tions, notam­ment par la prudence à conser­ver même lorsque l’on a l’impression de connaître son inter­lo­cu­teur, d’autant plus lorsqu’une commu­ni­ca­tion déjà effec­tuée est utili­sée de manière incohérente.



Proposition de citation : Pauline Meyer, Rapport semestriel du Centre national pour la cybersécurité : focus sur les attaques contre la chaîne d’approvisionnement, 12 mai 2022 in www.swissprivacy.law/145


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Second rapport semestriel du Centre national pour la cybersécurité : focus sur les failles de sécurité
  • Rétrospective sur les attaques d'hacktivisme en Suisse
  • Cyberattaques : vers une nouvelle obligation d’annonce
  • Une action civile à la suite d’une cyberattaque
Derniers articles
  • Les modèles de prix confidentiels soumis au principe de la transparence ?
  • Transparence à géométrie variable : le malaise vaudois
  • Votre carte d’identité comme carte de fidélité RGPD
  • Les limites du secret d’affaires : Analyse des recommandations du PFPDT par le TAF
Abonnement à notre newsletter
swissprivacy.law