Les explosions des bipeurs et des talkies-walkies des membres du Hezbollah, les 17 et 18 septembre, ont choqué le Liban. Mais le mode opératoire de l’attaque remet en lumière un risque auxquelles sont exposées les entreprises du monde entier. Car tout laisse à penser que les services israéliens sont parvenus à infiltrer la chaîne d’approvisionnement du Hezbollah, afin de leur fournir des bipeurs piégés. Ce que l’on appelle, dans le secteur, une “supply chain attack”.
Un rappel frappant que la sécurité des chaînes d’approvisionnement n’est plus une question logistique mais un sujet très politique. L’ennui, pointe Lewis Sage-Passant, professionnel du renseignement dans le secteur privé et enseignant à Sciences Po Paris est que “les entreprises ont aujourd’hui de grandes difficultés à cartographier exactement leurs chaînes d’approvisionnement”. Utiliser des pièces fabriquées à l’autre bout du monde dans différents ateliers avant qu’elles ne soient renvoyées dans un autre pays est devenu on ne peut plus banal. Or, pour maîtriser sa chaîne, il ne faut pas seulement contrôler ses fournisseurs. “Il faut aussi connaître les fournisseurs de vos fournisseurs”, rappelle l’expert. Un fil sans fin.
Les constructeurs d’ordinateurs ont, par exemple, souvent une sécurité de haut vol et peu de failles à exploiter. “Mais peut-être que l’entreprise qui fabrique un bout de caoutchouc qui va sous l’ordinateur n’est pas aussi bien sécurisée”, illustre Lewis Sage-Passant. C’est là que des attaquants peuvent s’engouffrer.
L’explosion des bipeurs au Liban n’est pas la première attaque du genre. D’autant que les “supply chain attack” ne visent pas systématiquement à détruire l’appareil ciblé et peuvent prendre des formes variées. “La NSA a injecté du code malveillant dans des disques durs pour espionner les utilisateurs, et avait surveillé des dirigeants européens à travers les câbles sous-marins, grâce à un détournement technique”, rappelle Pierre Delcher, directeur de l’équipe de recherche en cybersécurité chez HarfangLab.
Espions sur la chaîne de production
Lors de l’invasion de l’Ukraine par la Russie, le réseau de communication par satellite Viasat avait également subi une cyberattaque d’ampleur, bloquant pendant quelques heures Internet. Les modems fournis par Viasat auraient été sabotés “des mois à l’avance” pour permettre l’attaque, reprend Pierre Delcher.
Le risque que des appareils d’une entreprise européenne soit piégés est “beaucoup plus faible”, observe Lewis Sage-Passant. Non seulement ce type d’opération est aussi coûteux que risqué, mais les entreprises effectuent des contrôles de qualité afin de repérer tout composant anormal. “On ne peut cependant pas exclure qu’il y ait eu des introductions d’agents dans certaines chaînes de production pour des opérations d’espionnage, notamment pour mettre des micros”, met en garde Pierre Delcher.
Les “supply chain attack” sont parfois très discrètes. “Récemment, les systèmes de résolution d’adresse Internet d’un opérateur de communication ont été compromis, ce qui a permis aux attaquants de distribuer des mises à jour malveillantes”, rappelle le chercheur. Seule une erreur de l’attaquant ou le hasard permettent parfois de les repérer. D’impressionnantes attaques informatiques ont d’ores et déjà visé des entreprises occidentales. En 2017, l’une des plus dévastatrices, NotPetya, a bloqué des milliers d’ordinateurs en Europe et a entraîné des pertes de chiffre d’affaires estimées à 10 milliards de dollars.
Un rapport de 2023 de l’ANSSI [NDLR : Agence nationale de la sécurité des systèmes d’information] s’alarmait d’ailleurs de l’augmentation du nombre d’attaques contre des entreprises de secteurs stratégiques. Et l’entreprise spécialisée dans la cybersécurité SecurityScorecard annonçait en mars 2024 que 98 % des 100 plus grandes entreprises françaises travaillaient avec un fournisseur qui avait été victime d’une fuite de données.
Pharmacie, alimentaire… des secteurs à risques
Malheureusement, peu de professionnels sont assez sensibilisés à ces risques. “Les entreprises commencent à s’y mettre, mais seulement sur leur propre périmètre, et personne ne vérifie les prestataires des prestataires”, regrette Thomas Kerrien, spécialisé dans les questions de cybersécurité des chaînes d’approvisionnement. Des directives européennes pourraient améliorer la situation en imposant aux donneurs d’ordre de s’assurer que leur chaîne d’approvisionnement est complètement sécurisée. L’une d’elles, “NIS 2”, doit rentrer en application fin octobre 2024.
Il importe de bien se protéger de ce type d’attaques car elles peuvent avoir de redoutables conséquences, notamment dans des secteurs aussi sensibles que l’alimentation ou l’industrie du médicament. “Tous ces acteurs sont aujourd’hui des cibles potentielles, parce qu’on peut créer des pénuries alimentaires ou de médicaments très facilement”, ajoute Thomas Kerrien. Ils suffiraient que des attaquants prennent le contrôle d’outils informatiques critiques, comme le système de gestion des entrepôts, pour détruire un stock de nourriture, ou brouiller des données sur la composition de certains médicaments, et rendre le système toxique. Ces menaces risquent, à terme, de redessiner les chaînes d’approvisionnement internationales. Déjà, certaines entreprises étudient l’idée de les raccourcir afin de mieux les maîtriser ou de délocaliser leurs opérations dans des pays moins dangereux. “Si vous êtes une entreprise d’un secteur sensible, met en garde Lewis Sage-Passant, c’est le moment de vous assurer que vous ne travaillez qu’avec des fournisseurs de confiance”.
Source