Selon Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix, les exemples récents d’attaques contre la supply chain ont été motivés par deux erreurs principales :

« La première concerne la confiance et la mentalité "ne pas demander, ne pas dire". Les organisations se sentent encore mal à l’aise, non seulement lorsqu’il s’agit de partager les détails des incidents survenus dans leurs propres systèmes, mais aussi quant à poser des questions sur les programmes de sécurité de leurs partenaires. Cependant, les maillons d’une supply chain étant étroitement liés les uns aux autres, il est essentiel de procéder à une évaluation des risques en tenant compte des vulnérabilités des acteurs de cette chaîne. Alors qu’une attaque n’est plus une question de "si" mais de "quand", les équipes informatiques ne peuvent pas se contenter d’ignorer les risques associés aux fournisseurs de son organisation.

La deuxième erreur repose sur le mantra "il y a toujours un plus gros poisson, nous ne sommes pas assez importants". Les petites organisations ont en effet tendance à penser qu’elles ne seront pas victimes d’une cyberattaque en raison de leur taille. En réalité, chaque organisation d’une supply chain a une responsabilité plus large, qui découle de toutes les interconnexions qu’elle a établies dans le passé ; il peut s’agir notamment des API ou de l’accès à distance des fournisseurs et des clients.

Les groupes APT considèrent de plus les supply chains comme un levier significatif pour une infiltration réussie. C’est ainsi un moyen de propager des malwares et des portes dérobées par le biais de connexions fiables et d’augmenter le nombre de victimes avec moins d’efforts. Il est donc probable que ces acteurs malveillants continueront à faire évoluer leurs tactiques pour couvrir davantage d’éléments de la supply chain et de vecteurs d’attaque ; en s’intéressant par exemple à des progiciels spécifiques à un secteur ou à des applications préférées d’un groupe d’utilisateurs plus important.

Les organisations devraient par conséquent structurer leur propre surface d’attaque élargie en couches d’infrastructure, d’identités et de donnés, afin de cartographier les chemins potentiels à travers ces différentes couches. L’important est de réduire l’exposition non seulement en termes de quantité, c’est-à-dire le nombre de vulnérabilités ou de connexions, mais aussi de surveiller et de limiter les privilèges utilisés, en leur appliquant une stratégie de "juste à temps" et "juste assez". »