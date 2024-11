Cybersécurité de la Supply Chain : Le maillon fort de votre résilience digitale

novembre 2024 par Thomas Kerrien, membre du Conseil d’Administration de la FFC

La digitalisation ? Un enjeu business autant que cyber ! Dans le monde hyperconnecté qui nous entoure, la transformation digitale s’est imposée comme un impératif compétitif pour les entreprises. Et la crise COVID n’a fait qu’accélérer le mouvement, en poussant les organisations à digitaliser à marche forcée leurs opérations et leurs échanges. Mais qui dit course ne dit pas précipitation, et cette course au digital ne doit pas se faire au détriment de la sécurité, surtout quand on parle de Supply Chain. Car dans ce domaine ultra-stratégique et interconnecté, la moindre faille cyber peut engendrer des conséquences désastreuses. Décryptage.

Vos fournisseurs, maillons sensibles de votre cybersécurité

Vous avez beau muscler votre cybersécurité en interne, vous n’êtes jamais plus fort que le plus faible de vos partenaires. C’est tout le défi de la Supply Chain, cet écosystème complexe où les systèmes communiquent en permanence et où les données ultrasensibles s’échangent. Une proie de choix pour les hackers, qui raffolent de ces portes dérobées pour pénétrer le système d’information de leurs cibles. Sans parler des vulnérabilités qui pullulent au gré des interconnexions et de la multiplication des accès externes. Résultat : en 2021, 62% des cyberattaques ont exploité une faille de la Supply Chain. Un chiffre qui donne à réfléchir.

Une cyberattaque sur la Supply Chain, le coup d’arrêt assuré

Imaginez qu’un de vos fournisseurs critiques se fasse pirater et que votre propre système soit infecté. C’est toute votre chaîne de production qui peut se retrouver à l’arrêt, vos données stratégiques compromises, votre image durablement écornée auprès de vos clients. Sans compter les coûts induits par le redémarrage de l’activité.

Ces scénarios catastrophes qui n’ont rien d’hypothétique. On en veut pour mémoire les attaques Solarwinds ou Kaseya et leurs dégâts en cascade. Ou plus récemment, des rançongiciels qui ont mis à terre des géants comme Sbertbank, Bridgestone ou Swatch Group via des brèches chez des sous-traitants. La Supply Chain est plus que jamais le maillon faible des entreprises.

Sécuriser sa Supply Chain : Best practices et réflexes clés

Le périmètre est large, lorsqu’il s’agit de vouloir endiguer concrètement ces risques cyber tout au long de sa chaîne d’approvisionnement. La clé consistant à systématiser les bonnes pratiques, en impliquant tous les acteurs. Côté technique, mieux vaut miser sur des mesures éprouvées : sécurisation des accès et des flux, cloisonnement du SI, chiffrement des données, audits de sécurité réguliers des partenaires… Sans oublier la sensibilisation continue de tous les collaborateurs, y compris chez les sous-traitants. Et bien sûr, une gestion des risques en amont pour identifier les zones critiques, doublée de stratégies de résilience en cas d’attaque. Des efforts payants mais qui restent encore trop parcellaires et hétérogènes. C’est là que NIS2 compte changer la donne.

NIS2 : La supply chain dans le radar cyber de l’Europe

La directive NIS2 l’a bien compris : impossible de renforcer la cybersécurité des entreprises sans inclure leur écosystème. Grande nouveauté, les acteurs de la Supply Chain se retrouvent donc directement dans le périmètre de cette législation européenne musclée. Concrètement, les sous-traitants et fournisseurs de services essentiels (cloud, data centers…) seront soumis aux mêmes exigences de sécurité et de reporting que leurs clients-entreprises. Un alignement des pratiques qui va enfin créer un niveau commun élevé de cybersécurité. Et pousser chacun des partenaires à jouer pleinement son rôle de maillon cyber-vertueux.

Difficile pour les entreprises de se lancer seules dans une telle mutation des pratiques cyber. Mais elles ne sont pas démunies pour autant. Face à l’ampleur du défi, le recours à un partenaire expert en cybersécurité peut être un précieux allié. Son rôle : épauler les organisations dans leur mise en conformité NIS2, mais aussi dans la transformation globale de leur culture cyber, en mode écosystème. Un atout de taille pour appréhender sereinement ce virage réglementaire et en faire un levier de résilience durable.