Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Assurer la cybersécurité dans la supply chain numérique

avril 2022 par Vishal Salvi, Chief Information Security Officer & Head of Cybersecurity Practice – Infosys

Financée par France Relance et le Programme d’investissement d’avenir à hauteur d’un milliard d’euros, la lutte contre les cyberattaques s’installe comme une des priorités pour les entreprises et l’Etat. Cet investissement servira, entre autres, à doubler les effectifs en matière de cybersécurité d’ici à 2025.

En effet, à mesure que l’adoption du numérique étend les écosystèmes commerciaux d’une organisation, les risques abondent. Aujourd’hui, le périmètre de risque s’étend désormais à l’ensemble des fournisseurs et partenaires. La gestion des risques liés aux tiers est désormais l’un des cinq principaux risques pour les conseils d’administration. La gestion du risque dans la supply chain passe d’un exercice de conformité à une initiative stratégique, visant à le réduire.

Augmentation des cyber risques liés aux fournisseurs

Alors que les cyberattaques sont désormais beaucoup plus complexes et fréquentes, les entreprises confient les activités non essentielles à des fournisseurs externes pour une question de rentabilité. Bien que cela les aide à devenir plus compétitives et plus flexibles, cette approche les expose aussi à de nouveaux risques.
Les fournisseurs directs ne sont plus les seuls acteurs dont ils est nécessaire de se préoccuper. Les risques peuvent exister très loin dans la supply chain. Par exemple, lorsqu’une entreprise achète du matériel à un fournisseur, qui utilise à son tour des composants tiers non sécurisés dans un produit, elle devient, in fine, plus vulnérable. Prenons le cas d’une entreprise dans l’industrie du retail qui sous-traite une partie de ses opérations informatiques à un partenaire externe – qui, lui-même, sous-traite certains aspects du projet à une petite entreprise locale. Toute violation subie par l’entreprise locale pourrait avoir des répercussions sur l’entreprise initiale.
Cependant, la plupart des entreprises n’ont pas la visibilité nécessaire pour évaluer les risques et identifier les violations qui dépassent les frontières de leur entreprise. Par conséquent, un changement d’attitude s’impose lorsqu’il s’agit d’améliorer la sécurité des fournisseurs. Outre la mise en place de protocoles de base, les équipes chargées de la cybersécurité doivent également mettre l’accent sur une approche de partenariat - ce qui implique d’éduquer les fournisseurs et, éventuellement, d’étendre le périmètre de sécurité de l’entreprise au fournisseur.

Contrats et politiques avec les fournisseurs

Les fournisseurs jouent un rôle clé dans la sécurité des données. Il est donc essentiel d’inclure toutes les garanties nécessaires dans le contrat, telles qu’une clause de "droit d’audit" ou des délais convenus pour signaler les incidents. L’accord doit ainsi fournir des directives détaillées pour le désengagement des fournisseurs. Par exemple, exiger que toutes les données de l’entreprise soient détruites par le fournisseur après avoir été utilisées. Il peut s’avérer être utile de préconiser des pratiques telles que l’analyse statique du code par un tiers, l’analyse régulière de la sécurité des environnements locaux et dans le cloud, le DevSecOps et la vérification de l’intégrité des codes pour les fournisseurs.

Profilage approfondi des fournisseurs

Tous les fournisseurs ne présentent pas le même degré de risque. Un fournisseur ayant accès à des données sensibles telles que la conception de produits présente un risque plus important qu’un fournisseur qui fournit des matériaux d’emballage. Les profils des fournisseurs doivent être évalués d’un point de vue du risque, en particulier lorsque le nombre de fournisseurs se chiffre en milliers ou plus. L’IA et le machine Learning peuvent être utilisés pour exploiter les données existantes des fournisseurs afin d’améliorer le processus de gestion des risques.
Il est fortement recommandé de concevoir un questionnaire contextuel aligné sur l’appétit pour le risque des entreprises et qui exige des preuves explicites des politiques. Il doit également s’aligner sur les normes et réglementations du secteur.

Surveillance continue

Si la plupart des organisations procèdent à des évaluations des risques liés aux fournisseurs environ deux fois par an, cette fréquence peut s’avérer insuffisante compte tenu de la dynamique des risques. À mesure que le nombre de dispositifs et de points de contact augmente, la sécurité opérationnelle devient tout aussi primordiale que la sécurité informatique. Dans un tel scénario, il sera fondamental d’intégrer des outils qui surveillent en permanence les informations tournées vers l’extérieur, y compris le dark web et le mécanisme interne de gestion des risques de l’organisation.

Processus internes définis pour les évaluations des fournisseurs

Définir les processus au préalable est devenu un impératif - qu’il s’agisse de critères d’entrée et de sortie pour la réalisation des évaluations ou des plans de remédiation en cas de problèmes. Des accords de niveau de service bien définis pour la gouvernance et le suivi peuvent aider, avec des modèles standardisés, à communiquer les attentes en matière de contrôle et les déclarations de risque au fournisseur et aux parties prenantes internes.
Les équipes internes doivent recevoir une formation pour une compréhension uniforme des contrôles, des preuves attendues et des risques. En outre, des indications fondées sur des données exploitables et des conseils aux fournisseurs permettent de créer une meilleure synergie. Une approche de partenariat est particulièrement constructive lors de l’évaluation des fournisseurs tiers.

Briser les cloisonnements

Aujourd’hui, les équipes chargées de la cybersécurité, des questions juridiques, des achats et des risques ont une vision cloisonnée des fournisseurs. Par conséquent, les données ne sont pas communément disponibles et partagées. Les entreprisent se doivent d’évoluer vers une approche unifiée et intégrée de la gestion du cycle de vie des fournisseurs. Cela peut aider à éliminer les entités à risque et à se concentrer sur les fournisseurs qui répondent aux exigences de l’entreprise.
— 
Alors que l’Agence de l’Union européenne pour la cybersécurité (ENISA) a indiqué que les cyberattaques liées à la supply chain risquaient d’être multipliées par quatre en l’espace d’un an, les entreprises se doivent de trouver de nouveaux moyens de se protéger contre les vulnérabilités découlant de l’évolution du paysage dans le domaine de la suply chain.


Voir les articles précédents

    

Voir les articles suivants