Thibault Lapédagne, Directeur Cybersécurité chez CyberVadis, revient sur ces cybermenaces qui planent de manière croissante sur la supply chain et sur la manière dont les entreprises peuvent y faire face :

« La plupart des entreprises ont aujourd’hui conscience de l’importance de leurs pratiques de sécurité interne. Les politiques de protection des données et de sécurité de l’information d’une organisation peuvent - et doivent - être utilisées pour protéger les actifs sous son contrôle. Toutefois, le point faible du dispositif de sécurité de nombreuses entreprises réside actuellement dans les fournisseurs tiers. Il y a bien souvent des organisations qui adhèrent à des directives internes strictes mais qui subissent une violation à cause de tiers qu’elles ne contrôlent pas.

La compromission de la supply chain est un objectif clé pour les cyberattaquants, car en accédant à une société qui interagit avec de nombreuses autres entités, il est possible de trouver un moyen de toucher un très grand nombre de cibles à la fois. Et c’est d’autant plus vrai avec les grandes entreprises qui traitent parfois avec des milliers de parties tierces. Face à ces cybermenaces, les méthodes et les politiques de cybersécurité actuelles sont alors bien souvent inadaptées à la protection d’écosystèmes de cette ampleur et de cette complexité.

Le niveau de menace attendu signifie que les organisations doivent impérativement analyser et mettre en place les moyens nécessaires pour y faire face. Il est ainsi crucial qu’elles deviennent plus stratégiques et sophistiquées dans leur façon de s’orienter face aux risques liés aux tiers. Les indicateurs clés de performance, les accords de niveau de service et les normes de qualité sont tous essentiels sur le plan opérationnel, mais les risques les plus importants - et les plus dévastateurs - liés à ces relations externes se situent au niveau de la sécurité des informations.

L’engagement des fournisseurs et des distributeurs ne se limite en effet pas à la fourniture de biens et de services : il implique également l’échange d’informations. C’est pourquoi il est important de reconnaître le caractère sensible des accords passés, ainsi que la valeur des informations que détiennent les tiers. En outre, les entreprises doivent savoir qui sont leurs fournisseurs, quel est le degré de maturité et d’efficacité de leurs dispositifs de sécurité afin de comprendre les risques qu’ils représentent pour les organisations.

Par ailleurs, alors que de nombreuses entités se concentrent uniquement sur l’évaluation de leurs fournisseurs informatiques critiques, la menace de fuite de données peut provenir d’autres prestataires ou partenaires plus petits et non spécialisés dans l’IT, tels que les services juridiques, les RH, le recrutement, le marketing, la production ou encore la logistique. En réalité, ces fournisseurs sont susceptibles de représenter un risque encore plus élevé pour les entreprises que leurs grands partenaires informatiques stratégiques ; d’où l’importance de prendre en compte tous les fournisseurs à évaluer plutôt que de se concentrer uniquement sur les plus grands, car ils peuvent tous représenter un risque. S’assurer que ces secteurs de la supply chain sont conformes et sécurisés est le seul moyen de protéger une entreprise contre les conséquences d’une attaque. »