Les entreprises du secteur logistique font face au défi de s’appuyer sur les nouvelles solutions digitales sans risquer leur sécurité.
Dans un marché en plein essor, les nouvelles technologies sont effet devenues un véritable levier de performance. Mais leur adoption s’accompagne d’une hausse des risques de cybersécurité. La préoccupation est désormais de profiter des avantages de ces outils tout en protégeant leurs systèmes d’information.
C’est là qu’un test d’intrusion va aider à renforcer le niveau de sécurité, car il permet de vérifier le risque posé par des attaquants sur une cible donnée. Pour une entreprise logistique, il évaluera la sécurité des solutions web, des logiciels de contrôles, des capteurs intelligents, etc. face à des cyberattaques.
Quelles sont les priorités lors d’un test d’intrusion pour une entreprise du secteur logistique ?
Voici un panorama des enjeux de cybersécurité que nous rencontrons fréquemment et qui peuvent être des points d’attention spécifiques.
Garantir la protection et la confidentialité des données logistiques
L’élément phare est la protection des marchandises, au cœur de l’activité. Les données concernant les marchandises sont nombreuses : le contenu et leur valeur marchande, leur localisation, les données financières et personnelles associées…
La protection de ces données implique de les protéger tout au long du parcours des marchandises, où de multiples données sont générées : planification des stocks, ordonnance des missions, enlèvement des marchandises, facturation…
Imaginons que les données de localisation soient accessibles pour des attaquants. Ils pourraient alors choisir le meilleur moment pour voler les marchandises, que ce soit en se faisant passer pour un intermédiaire lors d’une phase de la livraison, en amont lorsqu’elles sont stockées ou bien une fois arrivées chez le destinataire avant l’utilisation.
La confidentialité des données est aussi sensible dans le cas de marchés concurrentiels (quel concurrent a acheté quelles quantités de matières premières ou à quel prix par exemple), par rapport à la protection de la vie privée (qui a acheté quoi), etc.
Les attaquants utilisent une variété de failles pour accéder aux données. Il peut s’agir de failles liées à des problèmes de droits et d’accès, qui donnent des accès à d’autres données ou à des fonctions supplémentaires que celles initialement prévues pour un utilisateur donné.
Ce peut être des problèmes de configuration, qui donnent la possibilité d’entrer sur le réseau interne ou d’intercepter des informations sensibles.
Nous rencontrons aussi des failles d’injections, qui permettent d’interagir avec la base de données par des requêtes non-prévues ou des failles de path transversal, qui permettent de récupérer un fichier sur un serveur.
Nous voyons de très nombreuses autres failles lors des tests d’intrusion, mais l’objectif ici n’est pas d’en faire un listing. La protection des données est un élément indispensable pour la fiabilité de l’organisation.
Confirmer l’implémentation sécurisée de l’IoT avec un test d’intrusion
L’IoT (Internet of Things) est de plus en plus présent, que ce soit dans les entrepôts ou durant le parcours de livraison.
Il peut s’agir de robots intelligents, du suivi de conteneurs/ de camions, de capteurs de contrôle de la température… Les objets connectés apportent une vraie valeur mais représentent un challenge de cybersécurité.
Si l’IoT a en effet atteint une maturité fonctionnelle, la sécurité n’est encore mature. La diversité des technologies utilisées et le nombre de point d’attaques en font une cible de choix pour les attaquants. Les vulnérabilités peuvent être liées au hardware, aux firmware, à l’intégration au réseau et à d’autres logiciels, aux interfaces web ou applications mobiles liées pour gérer l’objet ou récupérer des données, etc.
Selon vos priorités, un test d’intrusion IoT peut couvrir l’ensemble de l’écosystème IoT ou bien se concentrer sur des pans plus à risques.
La sécurité de l’IoT est essentielle pour garantir la sécurité du système d’information global, mais également pour assurer le respect d’exigences (chaîne du froid, traçabilité des produits…).
Valider l’intégration des solutions
Un autre enjeu central pour les organisations logistiques est l’intégration des solutions de manière sécurisée. Généralement, plusieurs solutions sont utilisées : captation des données sur le terrain, gestion des affrètements, tracking des opérations et des flux, optimisation des routes…
Les différentes solutions sont souvent plug and play afin de faciliter l’intégration et l’interopérabilité. Elles sont reliées les unes aux autres pour qu’elles puissent réaliser leur fonction et exploiter leur potentiel d’action, en s’appuyant sur des APIs. De plus, les solutions sont parfois ouvertes pour les partenaires, afin de fournir ou suivre les données.
Mais ces interactions peuvent laisser des failles : fuites de données, élévations de privilèges, prise de contrôle externe…
Les intégrations doivent être rigoureuses pour éviter les erreurs pouvant aboutir à des failles de sécurité. La segmentation et le contrôle des droits doivent aussi être précis et soigneux pour garantir la sécurité des systèmes.
Assurer la continuité de services des entreprises logistiques
Une autre priorité de sécurité est la continuité de services. Les chaines d’approvisionnement ne peuvent pas s’arrêter, elles sont donc des cibles très exposées aux attaques ransomwares. Les attaquants savent qu’elles auront plus tendance à payer la rançon pour pouvoir faire repartir leur activité le plus rapidement possible.
L’attaque récente contre Bakker Logistiek a par exemple montré qu’une attaque ransomware peut provoquer l’arrêt de toute l’entreprise et avoir des conséquences visibles auprès du consommateur, pour qui un produit n’est plus disponible.
D’autres attaques peuvent mettre en cause la continuité de services, comme les attaques de déni de service. Elles peuvent viser des logiciels, des services en ligne ou le système d’information global pour les rendre indisponibles. Elles utilisent des failles dans la couche logicielle ou dans l’infrastructure.
Prévenir ces risques passe par la sécurisation de ces couches pour tous les services exposés sur les réseaux. La sécurité des datacenters (internes ou externes) est également un facteur clé, de même que l’efficacité du plan de reprise d’activité. Dans le cadre d’un test d’intrusion, il est possible de tester les attaques par déni de service spécifiquement.
L’impact de données détruites ou corrompues est désastreux pour l’entreprise victime d’une attaque. Avoir une chaîne résiliente et pouvoir répondre rapidement et efficacement aux perturbations est un enjeu crucial, en particulier si les perturbations se produisent pendant une période stratégique pour l’entreprise (fin d’année, Black Friday…).
Prévenir les détournements de la logique métier
Les solutions logistiques suivent souvent des processus aux multiples étapes pour remplir leurs missions. Cela peut offrir des failles aux attaquants qui s’immiscent dans les parcours.
Dans le cas d’une organisation e-commerce, il pourrait s’agir de forcer une validation lors de la préparation d’une commande, afin d’en obtenir plusieurs fois l’expédition pour un même client.
Dans d’autres chaînes logistiques, contourner les processus pourraient aboutir à émettre des étiquettes de transport alors que la commande n’est pas encore confirmée ou de valider de nouvelles coordonnées bancaires de paiement d’une facture.
Parer les failles liées au facteur humain avec un test d’intrusion
Les vulnérabilités liées au facteur humain correspondent aux failles liées aux comportements. Les attaquants essayent de manipuler le personnel pour obtenir des informations stratégiques ou pour leur faire réaliser des actions créant des incidents de sécurité (installation de fichiers malveillants, mail de phishing…).
Il est alors essentiel de sensibiliser les équipes aux risques d’attaques s’appuyant sur le comportement humain, qui peuvent prendre de multiples formes. Si le phishing reste très répandu, d’autres attaques utilisent par exemple des clés USB malveillantes ou se servent d’un appel téléphonique.
Grâce à un audit d’ingénierie sociale, il est possible de tester les réflexes des équipes en simulant des attaques réalistes qui s’appuient sur des menaces adaptées au contexte de l’entreprise.
Un risque spécifique au secteur de la logistique existe lorsque les entreprises mettent en place une politique d’utiliser les appareils personnels des équipes pour leurs missions professionnelles (politique BYOD : Bring Your Own Devices). Il s’agit par exemple de l’utilisation des téléphones personnels pour les livreurs du dernier kilomètre. La sécurité de ces appareils n’est pas contrôlable par les entreprises et elles s’exposent à plus de risques. En effet, les employés peuvent avoir des appareils vulnérables (pour de multiples raisons : appareil non mis à jour, installation de logiciels douteux, navigation internet à risque…).
C’est un choix à évaluer d’avoir une politique d’utilisation des appareils personnels ou bien de fournir la totalité du matériel nécessaire.
Pour conclure, les attaques croissantes contre les entreprises du secteur logistique ont fait prendre conscience de l’importance de la cybersécurité. Les protections adaptées doivent être mise en place sur les équipements IT et OT. Différentes lignes de défenses, de la technologie aux processus en passant par les personnes dans l’entreprise, sont à coordonner pour garantir une cyber-résilience.