Si les RSSI redoutent les attaques directes contre leur entreprise, ils craignent tout autant les campagnes menées contre des fournisseurs. C’est ce qui vient de se passer pour la célèbre chaîne de café Starbucks. En début de semaine, l’enseigne a été confrontée à des difficultés opérationnelles après l'attaque d'un fournisseur de logiciels par un ransomware, qui l'a empêché de traiter les horaires et les salaires de ses employés. L’éditeur en question est Blue Yonder qui fournit des logiciels de supply chain pour Starbucks et d’autres commerçants (Morrisons et Sainsbury’s). La semaine dernière, il a été victime d’un ransomware.

« Blue Yonder a connu des perturbations dans son environnement cloud de services managés, qui ont été déterminées comme étant le résultat d'un incident de ransomware », a déclaré un porte-parole de Starbucks. L’attaque a perturbé un système essentiel de Starbucks, utilisé pour suivre les heures de travail et gérer les équipes. La société a précisé que le service aux clients n’a pas été touché.

La question de la surveillance des fournisseurs reste posée

De son côté Blue Yonder a annoncé avoir pris des mesures face à la cyberattaque. « Depuis qu'elle a appris l'incident, l'équipe de Blue Yonder a travaillé avec diligence, en collaboration avec des sociétés de cybersécurité externes, pour progresser dans son processus de rétablissement », glisse un porte-parole. Et j’ajouter :« nous avons mis en place plusieurs protocoles défensifs et de forensique ». L’ éditeur a sollicité notamment Crowdstrike dans le processus de restauration.

Cette affaire repose la question de la relation de confiance entre l’entreprise et ses fournisseurs. Sunil Varkey, un spécialiste de la cybersécurité, souligne la nécessité d'une surveillance continue et d'évaluations périodiques des mesures de sécurité et des engagements des partenaires. Il explique que « les attaques contre la supply chain sont de plus en plus fréquentes car elles permettent aux pirates de cibler plusieurs entreprises en un seul incident ». Il ajoute : « limiter le rayon d'action d'un partenaire critique qui ne serait plus opérationnel est essentiel et doit être intégré dans le plan de continuité des activités et de résilience de l'entreprise ». Un avis partagé par Keith Prabhu, directeur général de Confidis, cabinet de consultant sur les risques et la cybersécurité. Il préconise « des évaluations des risques des fournisseurs pour vérifier les contrôles de sécurité en place chez chacun d’entre eux ». Enfin, il insiste sur la mise en œuvre de revues de code et de tests d’intrusion pour chaque version de produit, intégrant la résolution des vulnérabilités critiques, élevées et moyennes identifiées.