Les Explosions des Bipeurs au Liban : Un Signal d’Alerte sur les Supply Chain Attacks
Les récentes explosions des bipeurs et des talkies-walkies des membres du Hezbollah, survenues les 17 et 18 septembre, ont profondément choqué le Liban. Cette attaque met en lumière le risque auquel sont exposées les entreprises à l’échelle mondiale, car il semble que les services israéliens aient réussi à infiltrer la chaîne d’approvisionnement du Hezbollah pour introduire des bipeurs piégés. Ce type d’opération est communément désigné dans le secteur comme une « supply chain attack ».
Un Risque Politique Croissant
Cette situation rappelle que la sécurité des chaînes d’approvisionnement a dépassé le simple cadre logistique pour devenir un enjeu politique majeur. Lewis Sage-Passant, professionnel du renseignement privé et enseignant à Sciences Po Paris, souligne que « les entreprises rencontrent des difficultés croissantes pour cartographier leurs chaînes d’approvisionnement ». L’utilisation de pièces provenant de l’autre bout du monde à travers divers ateliers est désormais monnaie courante, rendant le contrôle des fournisseurs insuffisant. Il est impératif de connaître aussi les fournisseurs de ces fournisseurs, ce qui complique davantage la gestion de la chaîne logistique.
Des Lacunes dans la Sécurité
Les fabricants d’ordinateurs, par exemple, disposent souvent de protocoles de sécurité rigoureux, mais des failles peuvent subsister. Sage-Passant explique qu’un fabricant de composants moins sécurisé, comme un petit fournisseur de caoutchouc, pourrait être une porte d’entrée pour des attaquants malveillants.
Un Antécédent d’Attaques Ciblées
L’explosion des bipeurs au Liban n’est pas un événement isolé. Les « supply chain attacks » peuvent avoir divers objectifs, allant de la destruction de matériel à l’espionnage. Pierre Delcher, directeur de l’équipe de recherche en cybersécurité chez HarfangLab, rappelle que la NSA a, par le passé, injecté du code malveillant dans des disques durs pour surveiller des utilisateurs, incluant des responsables européens via des câbles sous-marins.
Cyberattaques et Chaînes de Production
Durant l’invasion de l’Ukraine par la Russie, le réseau de communication par satellite Viasat a également été victime d’une cyberattaque majeure, empêchant l’accès à Internet pendant plusieurs heures. Les modems fournis par Viasat auraient été sabotés des mois à l’avance pour permettre une telle opération.
Bien que le risque de piégeage d’appareils dans des entreprises européennes soit relativement faible, Lewis Sage-Passant remarque que cela reste possible. Des contrôles de qualité sont généralement effectués pour détecter des composants anormaux. Cependant, certaines invasions pourraient passer inaperçues, notamment pour des opérations d’espionnage telles que l’installation de micros.
La Nécessité d’une Sensibilisation Accrue
Malheureusement, peu de professionnels semblent réellement conscients de ces menaces. Thomas Kerrien, expert en cybersécurité, déplore que les entreprises ne se concentrent que sur leur périmètre, négligeant souvent la vérification des prestataires de leurs prestataires. Une directive européenne, « NIS 2 », préconise une meilleure sécurisation des chaînes d’approvisionnement et doit entrer en vigueur fin octobre 2024.
Conséquences Potentielles des Supply Chain Attacks
Il est crucial de se prémunir contre ce type d’attaques, car leurs conséquences peuvent être désastreuses, en particulier dans des secteurs sensibles comme l’alimentation ou l’industrie pharmaceutique. Kerrien note que ces secteurs sont particulièrement vulnérables, car un piratage de leur système de gestion pourrait engendrer des pénuries alimentaires ou de médicaments. De telles menaces pourraient modifier la dynamique des chaînes d’approvisionnement mondiales, incitant certaines entreprises à envisager de les raccourcir ou de délocaliser leurs opérations vers des pays jugés plus sûrs.
Pour les entreprises évoluant dans ces secteurs à risques, il devient primordial de s’assurer que tous les fournisseurs impliqués respectent des standards de sécurité robustes.