swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Rapport semestriel du Centre national pour la cybersécurité : focus sur les attaques contre la chaîne d’approvisionnement

Pauline Meyer, le 12 mai 2022
Le 5 mai 2022, le NCSC a publié son troi­sième rapport semes­triel (Rapport semes­triel 2021/​II « Sécurité de l’information. Situation en Suisse et sur le plan inter­na­tio­nal »). Le thème prio­ri­taire porte sur les attaques contre la chaîne d’approvisionnement des produits informatiques.

Le Centre natio­nal pour la cyber­sé­cu­rité (NCSC) a publié son troi­sième rapport semes­triel pour la période de juillet à décembre 2021. Il traite prin­ci­pa­le­ment des attaques contre la chaîne d’approvisionnement, avant de parcou­rir, comme dans ses rapports précé­dents, les évène­ments portés à sa connais­sance durant la période susmen­tion­née. Il attire l’attention sur l’importance de l’ingénierie sociale dans le cadre des évène­ments signalés.

Les attaques contre la chaîne d’approvisionnement (supply chain) peuvent engen­drer des consé­quences drama­tiques, en visant un cercle limité de cibles ou en se propa­geant à plus large échelle. De nombreuses entre­prises colla­borent avec plusieurs parte­naires four­nis­sant des matières premières, tech­no­lo­gies ou pres­ta­tions permet­tant d’aboutir à un produit final ou d’être inté­grées à une pres­ta­tion. La chaîne d’approvisionnement englobe toute la chaîne de créa­tion de valeur. Une attaque chez l’un de ces parte­naires peut se réper­cu­ter sur les autres socié­tés voire sur les consom­ma­teurs finaux. L’un des maillons du proces­sus de créa­tion de valeur peut servir de porte d’entrée à un atta­quant (attaque via la chaîne d’approvisionnement) ou une attaque peut cher­cher l’interruption de la chaîne d’approvisionnement (attaques contre la chaîne d’approvisionnement).

Le NCSC illustre notam­ment cette problé­ma­tique avec la compro­mis­sion d’un pres­ta­taire autri­chien en septembre 2021 par un rançon­gi­ciel cher­chant à cibler les PME clientes du pres­ta­taire. En paral­lèle, les attaques DDoS visant une société d’hébergement abri­tant le site inter­net du canton de Saint-Gall ont entravé la dispo­ni­bi­lité de plusieurs sites de clients.

Ces exemples montrent que les rela­tions avec les four­nis­seurs et pres­ta­taires doivent être régu­liè­re­ment évaluées à la lumière du profil de risque. Le NCSC recom­mande aux petites entre­prises ne dispo­sant pas de leurs propres spécia­listes de couvrir contrac­tuel­le­ment les risques avec les parte­naires externes si un risque accru existe pour l’entreprise.

Le NCSC parcourt ensuite les évène­ments portés à sa connais­sance durant le second semestre de l’année 2021. Le Centre indique avoir enre­gis­tré 21 714 annonces, soit le double de ce qu’il avait reçu durant le premier semestre de l’année. Ce nombre élevé s’explique notam­ment par l’introduction du nouveau formu­laire du NCSC que toujours plus de personnes utilisent, ainsi que par une recru­des­cence notable de certains phénomènes.

Les évène­ments signa­lés au NCSC présentent régu­liè­re­ment une part d’ingénierie sociale. Grâce à la sensi­bi­li­sa­tion auprès des inter­nautes, le taux de réus­site des escrocs dimi­nue. Ces derniers cherchent à mieux susci­ter la confiance de leurs cibles, parfois en perpé­trant des attaques plus indi­vi­dua­li­sées ou en combi­nant diffé­rentes tech­niques d’ingénierie sociale.

Les fraudes consti­tuent les évène­ments les plus signa­lés, avec un nombre impor­tant de cour­riels prove­nant préten­du­ment d’autorités, notam­ment pénales, exigeant le paie­ment d’amendes ou de cautions.

Les cas de phishing, égale­ment élevés, consistent typi­que­ment en des noti­fi­ca­tions de colis récla­mant des émolu­ments au nom de services de livrai­son ou de l’Administration fédé­rale des douanes. Certains auteurs de phishing créent des sites inter­net d’entreprises de livrai­son, conçus indi­vi­duel­le­ment pour un produit, inci­tant les vendeurs sur des sites de petites annonces à dépas­ser leur scep­ti­cisme et à parta­ger leurs données de carte de crédit sur le site.

Dans le cadre d’arnaques aux senti­ments et au lieu de conti­nuer de deman­der de l’argent aux lésés, certains escrocs vont se faire passer pour riches et faire miroi­ter un gain impor­tant à leurs cibles. Ils partagent leurs « connais­sances » avec ces dernières pour qu’elles inves­tissent sur une préten­due plate­forme de place­ment et « gagnent des sommes impor­tantes », alors que le titu­laire du site inter­net et l’escroc collaborent.

Le NCSC parcourt égale­ment les mali­ciels prin­ci­pa­le­ment utili­sés ces derniers mois, dont Flubot, lequel fait parve­nir par SMS un lien renvoyant préten­du­ment vers un message vocal, ou encore Gootkit, mali­ciel spécia­lisé dans le vol de données bancaires par des campagnes de spams et par des sites inter­net compro­mis inci­tant les utili­sa­teurs à télé­char­ger le programme.

Le NCSC émet systé­ma­ti­que­ment des recom­man­da­tions à l’attention des parties prenantes. Au niveau de la popu­la­tion, la préven­tion demeure primor­diale. Alors que le taux de réus­site d’escroquerie dimi­nue en raison notam­ment de cette sensi­bi­li­sa­tion, les acteurs malveillants redoublent d’efforts. L’attention portée par les citoyens doit s’aligner avec ces évolu­tions, notam­ment par la prudence à conser­ver même lorsque l’on a l’impression de connaître son inter­lo­cu­teur, d’autant plus lorsqu’une commu­ni­ca­tion déjà effec­tuée est utili­sée de manière incohérente.



Proposition de citation : Pauline Meyer, Rapport semestriel du Centre national pour la cybersécurité : focus sur les attaques contre la chaîne d’approvisionnement, 12 mai 2022 in www.swissprivacy.law/145


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Second rapport semestriel du Centre national pour la cybersécurité : focus sur les failles de sécurité
  • Cyberattaques : vers une nouvelle obligation d’annonce
  • Premier rapport semestriel du Centre national pour la cybersécurité: focus sur la santé numérique
  • Rapport semestriel du Centre national pour la cybersécurité : cyberespace et conflits armés
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law