Les avancées technologiques de la chaîne d'approvisionnement suscitent des préoccupations en matière de sécurité

Diverses technologies, notamment l'intelligence artificielle (IA), les mégadonnées (big data), l'analytique et la blockchain, modifient considérablement le fonctionnement de la chaîne d'approvisionnement. Elle est plus rapide, plus précise et plus prédictive que jamais auparavant. C'est une bonne chose. Ou est-ce le contraire ? Ces avancées s'accompagnent d'au moins un inconvénient majeur : un risque accru lié à la cybersécurité. Une chaîne d'approvisionnement connectée offre aux cybercriminels chevronnés davantage de vecteurs d'attaque et une contrepartie plus riche, touchant potentiellement plusieurs organisations. Les chaînes d'approvisionnement constituent ainsi une cible irrésistible.

Les cyberattaques sont inévitables

Étant donné que les cyberattaques ciblant la chaîne d'approvisionnement sont de plus en plus courantes, les organisations doivent s'y préparer et planifier leur réponse plutôt que de se contenter d'essayer d'empêcher ces attaques. En bref, il ne faut pas se demander si des cyberattaques vont se produire, mais plutôt quand elles vont se produire.

Dans son enquête sur les complexités accrues liées à la chaîne d'approvisionnement de 2022¹, Gartner a constaté que 31 % des personnes interrogées déclaraient avoir connu au cours des deux dernières années une cyberattaque avec des conséquences sur les opérations de la chaîne d'approvisionnement. Le cabinet d'étude de marché prévoit une hausse de ce nombre à 45 % d'ici à 2025.² Même si l'erreur humaine reste un vecteur d'attaque courant (qu'il s'agisse d'hameçonnage par e-mail ou d'une incitation à brancher une clé USB infectée), les rançongiciels et autres menaces liées à l'extorsion progressent également, avec une hausse de 180 % au cours des 12 derniers mois, d'après le rapport d'enquête sur les piratages (Data Breach Investigations Report, DBIR) de 2024 de Verizon³ (Figure 1).

Figure 1 : Les êtres humains restent le point d'accès le plus vulnérable, et les rançongiciels et l'extorsion sont de plus en plus fréquents. (Source de l'image : Verizon DBIR)

Ces types de piratages coûtent cher en termes de temps et d'argent. Selon le rapport 2023 Cost of Insider Risks Global Report du Ponemon Institute⁴, le coût moyen d'un piratage dans le secteur a atteint 16,2 millions d'USD par organisation, avec un délai moyen de maîtrise d'incident de 86 jours, contre 15,4 millions d'USD et 85 jours l'année précédente. Ces statistiques ne tiennent même pas compte du coût infligé à la marque de l'organisation.

Les cyberattaques font régulièrement la une de l'actualité, et les secteurs de la high-tech et de la fabrication sont des cibles majeures. L'année dernière, les organisations du secteur de la fabrication ont été les plus ciblées par les cybercriminels (Figure 2). Avec les récents développements technologiques, la cybersécurité est désormais essentielle à la réussite d'une organisation. Les entreprises s'en rendent bien compte et augmentent progressivement leurs investissements dans la cybersécurité. En 2025, le budget mondial devrait atteindre un total de 212 milliards d'USD, soit une hausse de 15,1 % par rapport à 2024.⁵

Figure 2 : L'année dernière, les organisations du secteur de la fabrication ont été les plus ciblées par les cybercriminels. (Source de l'image : Statistica)

Meilleures pratiques de sécurité

Dans cet environnement dynamique et changeant, les services d'approvisionnement doivent donner la priorité aux mesures de cybersécurité qui incluent les employés internes, les clients et les fournisseurs dans l'ensemble de la chaîne d'approvisionnement. Au sein de l'organisation, la cybersécurité doit rester une priorité et être prise en compte lors des évaluations régulières des risques. Il est essentiel d'encourager la sensibilisation aux cyberattaques et d'investir dans la résilience en matière de cybersécurité. Voici des exemples de bonnes pratiques :

• Chiffrement des données : chiffrez tous les types de données en utilisant la norme de chiffrement avancé (AES). Le gouvernement américain a choisi ce chiffrement par blocs symétriques pour protéger ses informations classifiées.
• Sécurisation des identifiants et des accès des employés : les humains ne sont pas infaillibles, alors mettez en place des formations et des rappels réguliers. Les membres du personnel, qui constituent la première ligne de défense d'une entreprise, doivent être capables de repérer les e-mails d'hameçonnage et les liens suspects, et de protéger leurs identifiants.
• Formation pratique : sensibilisez les employés aux scénarios réels et donnez-leur des informations concernant l'impact de ces cyberattaques sur les entreprises et leurs partenaires. Faites des points réguliers sur les nouvelles attaques : les informations dynamiques sont retenues plus facilement.
• Tests d'intrusion : embauchez un expert pour identifier les vulnérabilités et y remédier avant qu'elles ne soient exploitées. Mettez à jour les mots de passe faibles, et sécurisez les bases de données, les points d'extrémité et les réseaux.
• Planification des problèmes : créez et tenez à jour un plan d'intervention simple et exploitable en cas d'incident, avec des mesures correctives faciles à déployer. Testez régulièrement votre plan.

Marche à suivre pour les partenaires

Si la cybersécurité en interne est essentielle, la mise en place de stratégies de sécurité des informations pour les partenaires l'est tout autant, quel que soit le niveau de ces partenaires. Établissez une liste de contrôle liée à la sécurité des informations et veillez à ce que vos partenaires s'y conforment. Encouragez-les également à ancrer profondément ces bonnes pratiques dans la chaîne d'approvisionnement. L'infrastructure CSA Cloud Controls Matrix propose 197 objectifs de contrôle dans 17 domaines couvrant les aspects critiques de la sécurité et de la conformité du cloud.⁶ Vos partenaires, s'ils sont vulnérables, sont des vecteurs d'attaques qui pourraient permettre l'intrusion d'un acteur malveillant dans votre organisation.

La sécurité s'apparente à un jeu de saute-mouton. Dès que les gentils créent un nouveau moyen de sécuriser les systèmes et les données, les méchants trouvent un moyen de le contourner. Avec l'utilisation accrue de technologies avancées, la vigilance et le respect des meilleures pratiques sont essentiels pour rester en sécurité.

Références

1. https://www.scmr.com/article/tackling_hidden_risks_in_the_supply_chain_insights_for_procurement_leaders - :~:text=According to Gartner's 2022 Thriving Amid Heightened Complexities Supply Chain Survey, 31%25

2. https://aratum.com/perspective/emerging-threats-in-supply-chain-cybersecurity-in-2024/#:~:text=The%20Most%20Compelling%20Cybersecurity%20Stats%20of%202022%20%7C%20Alert%20Logic

3. https://www.verizon.com/business/resources/reports/dbir/

4. https://ponemonsullivanreport.com/2023/10/cost-of-insider-risks-global-report-2023/

5. https://www.gartner.com/en/newsroom/press-releases/2024-08-28-gartner-forecasts-global-information-security-spending-to-grow-15-percent-in-2025

6. https://cloudsecurityalliance.org/research/cloud-controls-matrix