Cyberattaques contre la chaîne d'approvisionnement : les principales attaques et leurs conséquences

1. cyberattaque sur SolarWinds

L'attaque contre SolarWinds est considérée comme l'une des cyberattaques les plus graves de l'histoire récente. Chez le fournisseur de solutions de gestion de réseau, les pirates ont infecté les mises à jour de la plate-forme Orion avec le malware Sunburst. Parmi les clients concernés figurent des entreprises telles que Microsoft, Intel et Cisco, ainsi que plusieurs ministères et agences américaines, soit jusqu'à 18 000 clients au total. Les conséquences ont été graves : les pirates ont pu accéder à des données sensibles ainsi qu'au code de programme de Microsoft. L'attaque contre SolarWinds a coûté en moyenne 11 % de leur chiffre d'affaires annuel aux entreprises des secteurs clés. L'attaque a été attribuée au groupe de pirates russes APT29, également connu sous le nom de Cozy Bear, et a été découverte en décembre 2020.

Aperçu des faits

• Clients concernés :
  entre autres Microsoft, Intel, Cisco, Deloitte, plusieurs ministères et autorités américaines ; au total jusqu'à 18.000 clients
• Voie d'attaque :
  Des pirates ont infecté les mises à jour de la plate-forme de gestion de réseau Orion de SolarWinds avec le malware Sunburst
• En détail :
  Installation d'une porte dérobée sur des systèmes infectés afin de les prendre en charge à distance. Les pirates ont pu accéder aux comptes d'utilisateurs des organisations concernées et se faire passer pour eux.
• Conséquences :
  Accès à l'environnement réseau et au code de programme chez Microsoft ; accès aux données sensibles des clients
• Dommages :
  En moyenne 11% du chiffre d'affaires annuel d'une entreprise

2. Cyber-attaque sur MOVEit 

Une grave attaque a concerné le programme de transfert de données MOVEit Transfer de la société Progress Software Corp, une entreprise américaine basée à Burlington. MOVEit est utilisé dans le monde entier par de nombreuses entreprises et prestataires de services, notamment des banques et des assurances, pour l'échange de données sensibles. Grâce à une vulnérabilité d'injection SQL zero-day, les pirates ont réussi à contourner les contrôles de sécurité et à accéder aux données confidentielles de plus de 62 millions de personnes, y compris des informations médicales et des numéros de sécurité sociale. Parmi les clients concernés figurent British Airways, la BBC, les autorités américaines, plusieurs grands prestataires de soins de santé du monde entier, l'Université de Géorgie et Heidelberger Druck, etc. au total plus de 2000 clients. Les dommages estimés se sont élevés à environ 9,9 milliards de dollars. Le groupe de pirates CLOP est soupçonné d'avoir mené cette attaque en juin 2023.

Aperçu des faits

• Fournisseur de services :
  Progress Software Corp.
• Clients concernés :
  entre autres British Airways, BBC, autorités américaines, PwC, EY, NYC système scolaire public ; au total plus de 2000 clients, dont d'autres prestataires de services → effet en cascade (voir 3. Majorel)
• Voie/technique d'attaque :
  Exploit zero-day d'une vulnérabilité d'injection SQL pouvant être utilisée pour l'exécution de code à distance (RCE)
• En détail :
  La vulnérabilité zero-day permettait à un attaquant de s'introduire à distance dans la base de données de MOVEit Transfer sans authentification et d'injecter des commandes SQL pour modifier ou supprimer des éléments critiques de la base de données.
• Conséquences :
  Plus de 62 millions de personnes lésées ; entre autres, accès à des données personnelles sensibles telles que des informations médicales et des numéros de sécurité sociale.
• Dommages :
  ~9,9 milliards USD (estimation)

3. Cyber-attaque Majorel Allemagne GmbH

Suite au piratage de MOVEit, le service de changement de compte Majorel Allemagne a été piraté. Des clients tels que Barmer, ING, Deutsche Bank, Comdirect ainsi que certaines banques Sparda et autres ont été touchés. Les pirates ont pu s'emparer de données personnelles telles que les coordonnées bancaires et les numéros d'assurance maladie. Au total, plus de 144 000 enregistrements de données de clients bancaires ont été retrouvés sur le darknet. L'attaque a été découverte en juillet 2023. Le montant exact des dommages n'est pas connu.

Aperçu des faits

• Clients concernés :
  entre autres Barmer, ING, Deutsche Bank, Comdirect, Postbank, Sparda-Banken, Versicherungskammer Bayern
• Voie/technique d'attaque :
  Exploit zero-day - L'attaque est due au piratage MOVEit
• En détail :
  Des pirates ont pu s'introduire dans la base de données de MOVEit Transfer et injecter des commandes SQL
• Conséquences :
  Accès et publication de données personnelles sensibles telles que les coordonnées bancaires, les numéros d'assurance maladie, les cotisations de primes (auprès de l'assureur) ; au total, les pirates ont récupéré plus de 144 000 ensembles de données.
• Dommages :
  Pas de chiffres connus

4. Cyber-attaque sur Infosys McCamish Systems

Infosys McCamish Systems (IMS), prestataire américain de services financiers et d'assurance, a subi une attaque de ransomware lourde de conséquences en novembre 2023. Les données de plus de six millions de personnes ont été compromises, notamment les noms, adresses, dates de naissance, numéros de sécurité sociale, dossiers médicaux, informations sur les cartes de crédit et mots de passe. Aucun détail n'a été fourni sur la méthode d'attaque. Parmi les clients concernés figurent la grande banque américaine Bank of America Corporation (BofA) ainsi que la compagnie d'assurance retraite américaine Oceanview Life & Annuity. Le préjudice estimé pour IMS est d'au moins 30 millions de dollars. L'attaque est attribuée au groupe de ransomware LockBit.

Aperçu des faits

• Clients concernés :
  entre autres Bank of America Corporation (BofA), compagnie d'assurance retraite américaine
• Voie/technique d'attaque :
  Ransomware
• En détail :
  Rien de connu
• Conséquences :
  Les données sensibles de plus de 6 millions de personnes ont été compromises. Parmi elles, des noms, des numéros de sécurité sociale, des informations financières, des informations médicales, des données biométriques et des numéros de passeport.
• Dommages :
  Selon l'estimation d'IMS, au moins 30 millions de dollars US ; pas de données de la part de BofA ou d'Oceanview Life & Annuity

5. Cyber-attaque sur Kaseya

En juillet 2021, Kaseya, l'un des principaux fournisseurs mondiaux de logiciels de gestion IT, a été victime d'une attaque par ransomware. Les attaquants ont obtenu l'accès au logiciel de télémaintenance VSA via une faille zero-day non corrigée et ont créé une mise à jour malveillante qui a été automatiquement déployée sur les serveurs VSA dans les réseaux des clients. Parmi les entreprises touchées figuraient Kaseya et de nombreux prestataires de services informatiques, ce qui a entraîné un effet domino touchant jusqu'à 1500 organisations dans le monde, dont la chaîne de supermarchés suédoise Coop. Les attaquants ont d'abord exigé une rançon de 70 millions de dollars, mais ont ensuite réduit ce montant. L'attaque a entraîné le cryptage des données et des systèmes et a provoqué des pertes de production. Les chiffres concrets des dommages n'ont pas été rendus publics.

Aperçu des faits

• Clients concernés :
  entre autres Coop (chaîne de supermarchés) ; environ 50 clients directs, dont d'autres prestataires de services. Un effet domino s'est produit, touchant jusqu'à 1500 organisations.
• Voie/technique d'attaque :
  Attaque contre le logiciel VSA de Kaseya, utilisé par les organisations pour gérer les mises à jour logicielles sur les systèmes informatiques
• En détail :
  Suite à la manipulation de la mise à jour VSA, un ransomware a été transféré dans les réseaux des clients 
• Les conséquences :
  Cryptage des données et des systèmes des organisations concernées ; en partie, arrêts de production ; accès et publication de données personnelles
• Les dégâts :
  Pas de chiffres concrets

6. Cyber-attaque sur Adesso

Au début de l'été 2022, le prestataire de services informatiques Adesso, qui compte parmi ses clients des groupes du DAX comme Daimler, BMW, RWE et Eon, ainsi que des autorités fédérales comme le ministère fédéral de l'Intérieur et de la Patrie (BMI), le ministère fédéral du Numérique et des Transports (BMDV), l'Office fédéral de la police criminelle (BKA), l'autorité de surveillance financière Bafin et la Banque fédérale allemande, a été piraté. Les pirates avaient exploité une faille de sécurité dans le logiciel "Confluence" d'Atlassian, manipulé des plug-ins dans les systèmes et a obtenu un accès privilégié aux systèmes et aux fichiers du réseau interne. L'attaque n'a été découverte qu'en janvier 2023 par l'équipe de sécurité d'Adesso, mais n'a été rendue publique que par un lanceur d'alerte. Aucun chiffre concret concernant les dommages n'a été publié.

Aperçu des faits

• Clients concernés :
  entre autres des groupes DAX, BMI, BMDV
• Voie/technique d'attaque :
  Faille de sécurité dans le système wiki d'entreprise "Confluence" de l'éditeur de logiciels Atlassian
• En détail :
  Rien de connu
• Conséquences :
  Accès à des informations et fichiers individuels, y compris, entre autres, de grandes quantités de communications par e-mail contenant des données à caractère personnel
• Dommages :
  Pas de chiffres connus

7. Cyber-attaque sur Count + Care

Une attaque de ransomware contre le prestataire de services informatiques Count + Care en Hesse a paralysé plusieurs entreprises en juin 2022, dont d'importants opérateurs KRITIS et des communes. Les attaquants ont réussi à s'introduire dans le réseau d'entreprise du prestataire de services et à y crypter des données et des systèmes. Count + Care est la filiale informatique du groupe ENTEGA, l'un des principaux fournisseurs d'énergie et de services d'infrastructure en Allemagne. Outre le fournisseur d'énergie, l'entreprise de transport Heag de Darmstadt, le groupe d'élimination et de service de Francfort (FES) ainsi que les services municipaux de Mayence ont également été touchés. Suite à cette attaque, de nombreuses données personnelles de collaborateurs d'ENTEGA et de partenaires commerciaux se sont retrouvées sur le Darknet.

Aperçu des faits

• Clients concernés :
  entre autres Entega, Frankfurter Entsorgungs- und Service-Gruppe (FES), Heag, Mainzer Stadtwerke
• Voie/technique d'attaque : Ransomware
• En détail :
  Rien de connu
• Conséquences :
  Cryptage des données et des systèmes des organisations touchées ; les pages d'accueil ne sont plus accessibles ; les services sont limités (notamment les transports publics ne fonctionnent plus).
• Dommages :
  Pas de chiffres connus

Conclusion

Les cyberattaques contre la chaîne d'approvisionnement peuvent se transformer en réactions en chaîne de type domino. Les entreprises doivent faire face à ces menaces avec des mesures de sécurité robustes afin de protéger leurs systèmes et leurs données. Cela nécessite une stratégie de sécurité globale qui prend en compte à la fois les aspects technologiques et organisationnels.

Une première étape consiste à sélectionner soigneusement les prestataires de services : Vérifiez les normes de sécurité et les certifications de vos fournisseurs. Assurez-vous que vos prestataires de services respectent les directives en matière d'informatique et de protection des données (entre autres selon des réglementations telles que NIS2, DORA et TSAX) et effectuer des contrôles de sécurité réguliers. La gestion des risques des partenaires commerciaux de LocateRisk vous aide dans cette tâche grâce à des analyses et des suivis automatisés des risques informatiques ainsi qu'à des questionnaires numériques pour l'auto-évaluation des fournisseurs. Cela permet à toutes les parties concernées d'économiser du temps et de l'argent, de minimiser les risques et de promouvoir l'amélioration continue.

Lire aussi La gestion des risques fournisseurs pour les chaînes d'approvisionnement complexes - en toute simplicité

Voulez vous en savoir plus, réserver une démo ou juste échanger un instant? Alex se réjouit d'avance!

Votre Contact
Alexander Feldmann
Consultant

+49 (0) 6151 6290246

Contactez-nous maintenant

Accueil

Blog

par rapport à nous

Contact

mentiones légales

Confidentialité

CONDITIONS GÉNÉRALES DE VENTE

Carrière

© LocateRisk 2023