Luttez contre les menaces avec la sécurité et la gestion des risques de la chaîne d’approvisionnement
Les menaces pour votre entreprise sont omniprésentes : employés, fournisseurs et pirates informatiques. C’est là que la sécurité de la chaîne d’approvisionnement devient essentielle pour une stratégie de sécurité robuste.
Qu’est-ce que la sécurité de la chaîne d’approvisionnement ? C’est un terme qui englobe comment la chaîne d’approvisionnement d’une entreprise peut réduire les menaces physiques et cybernétiques, à la fois en interne et en externe. Ces menaces peuvent inclure tout, du vol physique aux pirates informatiques qui violent votre réseau.
Qu’est-ce que la sécurité de la chaîne d’approvisionnement pour les systèmes informatiques et de données ?
Historiquement, le terme « chaîne d’approvisionnement » faisait référence à un ensemble spécifique de pratiques logistiques autour du déplacement des biens et services d’un endroit à un autre, c’est-à-dire, il avait un contexte physique spécifique. Encore aujourd’hui, la « chaîne d’approvisionnement » s’applique souvent à l’expédition, la logistique, le transport routier et les voies de circulation qui soutiennent le mouvement des marchandises d’un endroit à un autre.
En termes de systèmes et d’infrastructures numériques, la chaîne d’approvisionnement se réfère également au matériel, aux logiciels, aux plateformes cloud et aux mesures de sécurité en place pour soutenir les entreprises axées sur les données et les organisations gouvernementales. Ces chaînes d’approvisionnement gèrent le mouvement de ce qui est peut-être le bien le plus critique que toute organisation possède dans notre monde numérique moderne : les données. Les principales chaînes d’approvisionnement numériques comprennent celles de la banque et de la finance, ainsi que des services gouvernementaux et de la défense.
Il existe des similitudes entre les chaînes d’approvisionnement traditionnelles et numériques. Par exemple, de nombreux fabricants comptent sur des chaînes d’approvisionnement en amont où les composants convergent vers un emplacement central pour soutenir la création d’objets plus grands, tels que les voitures et les équipements industriels. De même, la chaîne d’approvisionnement numérique repose sur l’afflux en amont des services cloud et managés pour soutenir des opérations plus importantes dans les industries mentionnées précédemment. Des plateformes comme Salesforce, Microsoft Azure ou Office 365, et AWS Cloud Services apportent des fonctionnalités telles que le stockage, l’analytique, la sécurité, le support réseau et l’analyse, et même l’IA ou l’apprentissage automatique aux entreprises qui les intègrent dans des logistiques plus complètes.
Les professionnels de l’IT sont de plus en plus conscients du nombre croissant d’attaques sur les chaînes d’approvisionnement numériques ces dernières années. Les attaques parrainées par des États contre les chaînes d’approvisionnement numériques, notamment par le biais de piratages en amont, deviennent le front principal de la cyberguerre moderne. En réponse, la gestion des risques de la chaîne d’approvisionnement est devenue une entreprise stratégique pour de nombreuses organisations.
Nous observons plusieurs formes courantes de menaces et de vulnérabilités qui affectent de plus en plus les chaînes d’approvisionnement numériques :
- Exploitation des failles de sécurité : Même si la technologie évolue, beaucoup de nos pires pratiques restent en vigueur. L’une des manières les plus courantes pour les pirates d’accéder aux systèmes à des fins malveillantes est d’exploiter des bugs, des portes dérobées ou des vulnérabilités bien connues qui sont ignorées pour une raison ou une autre.
- Relations avec les fournisseurs : Les conséquences des piratages modernes ne se limitent pas à l’entreprise elle-même. De nombreux fournisseurs de cloud ont une vaste clientèle qui comprend des entreprises privées et des agences gouvernementales. Les attaques contre l’infrastructure cloud peuvent provoquer un effet domino en raison des relations avec différentes entreprises et organisations.
- Manque de connaissance ou de formation : Malheureusement, l’un des points les plus faibles de toute chaîne d’approvisionnement numérique est généralement les personnes impliquées. Un manque de formation pour choisir des mots de passe forts et pour identifier les attaques de hameçonnage peut entraîner la déstabilisation complète d’une entreprise et de ses clients.
- Menaces persistantes actives (APTs) : La forme de violation de sécurité la plus menaçante est une APT. Ces menaces n’infectent pas simplement et ne détruisent pas un système. Ce sont des programmes sophistiqués qui s’introduisent dans un système, se déplacent latéralement dans une organisation, puis en amont, tout en évitant la détection. Une fois à l’intérieur, ils peuvent surveiller tous les événements du système pour voler des données pendant des semaines, des mois, voire des années avant d’être identifiés.
Les violations de données sont des événements coûteux qui peuvent totalement déstabiliser votre entreprise, ainsi que celles de vos partenaires. Selon IBM et l’Institut Ponemon, le coût moyen d’une violation de données est de 4,24 millions de dollars, mais ce chiffre ne tient pas compte des coûts supplémentaires en termes de temps, d’effort et de réputation.
La cybersécurité est-elle suffisante pour la sécurité de la chaîne d’approvisionnement ?
La réponse courte est non. Les efforts simples de cybersécurité ne grattent souvent que la surface des vulnérabilités potentiellement existantes dans une chaîne d’approvisionnement. Au lieu de cela, les organisations doivent se concentrer sur la sécurité sur plusieurs fronts :
- Évaluer les fournisseurs potentiels et les relations avec les fournisseurs existants : Vos fournisseurs devraient, au minimum, répondre à vos attentes en matière de sécurité lorsqu’ils manipulent vos données. De plus, ils devraient être disposés et capables de démontrer leur conformité à vos exigences par le biais d’évaluations et d’évaluations régulières. Enfin, votre direction informatique devrait intégrer des évaluations annuelles dans tous les contrats de fournisseurs pour évaluer les risques liés aux tiers.
- Tests de cybersécurité actifs : Vous devez mettre en place et effectuer des tests réguliers sur tous les systèmes. Cela peut signifier la réalisation de tests de pénétration réguliers, des exercices de red team, ou une combinaison de tests de système clairement planifiés pour exposer les vulnérabilités à travers plusieurs couches interconnectées de votre système.
- Scan, surveillance et mise à jour réguliers : Vous pouvez et devez utiliser des scans de vulnérabilités réguliers en dehors des tests réguliers. Bien que les scans de vulnérabilité ne soient pas aussi complets que les tests de pénétration, ils peuvent être effectués plus fréquemment pour exposer les vulnérabilités superficielles dès qu’elles apparaissent.
- Comprendre les normes de conformité : Bien que les réglementations de conformité comme HIPAA et CMMC, en elles-mêmes, ne couvrent pas toutes vos exigences de sécurité, elles fournissent un bon cadre de ce que les experts de votre industrie considèrent comme des menaces majeures et des priorités de sécurité. De plus, vous pouvez rechercher en dehors de votre industrie des cadres comme NIST CSF et ISO 27001, entre autres, pour voir comment les professionnels utilisent les évaluations de risque et les pratiques de surveillance pour sécuriser leurs systèmes.
- Sécuriser les lieux physiques : Ne prenez pas pour acquis la vulnérabilité de vos lieux physiques. Un ordinateur portable égaré ou une porte non sécurisée peuvent donner aux attaquants ou aux initiés malveillants un moyen de voler des informations. Protégez tous les appareils par mot de passe, assurez-vous que ces appareils utilisent des communications chiffrées et des connexions sécurisées, et protégez les centres de données et les postes de travail avec des caméras et des portes verrouillées.
Quelles sont les meilleures pratiques pour garantir la sécurité de la chaîne d’approvisionnement ?
Pour aborder au mieux la sécurité de la chaîne d’approvisionnement, il est important de comprendre la vue d’ensemble. Il y a quelques meilleures pratiques à considérer lors de la sécurisation de vos données tout au long de la chaîne d’approvisionnement numérique :
- Connaître vos actifs : Vous devez être capable de cartographier vos actifs, vos données, vos fournisseurs et toutes les technologies et infrastructures de connexion. Il ne devrait jamais y avoir de raison pour laquelle votre inventaire ou votre catalogue de ressources n’est pas à jour. Vous ne pouvez pas protéger ce que vous ne voyez pas.
- Adopter la gestion des risques : La gestion des risques de la chaîne d’approvisionnement (SCRM) est l’art et la science de comprendre et d’équilibrer les différences entre vos contrôles de sécurité existants, vos vulnérabilités potentielles, vos exigences réglementaires et vos objectifs commerciaux. Une approche basée sur le risque peut vous aider à mieux comprendre votre paysage de sécurité et où vous devez résoudre les problèmes.
- Adopter une approche pratique des relations avec les fournisseurs : Comme indiqué précédemment, vous devriez avoir une carte claire de tous les accords et relations avec les fournisseurs, y compris des audits réguliers, des révisions et des évaluations dus à des mises à niveau ou à des changements technologiques. Cette approche peut vous aider à atténuer les défis dus aux vulnérabilités des partenaires et aux services cloud ou gérés en amont.
- Comprendre la conformité : Sachez quelles normes de conformité vous devez respecter et, si possible, dépassez-les pour renforcer la sécurité.
- Viser une visibilité totale : Surveillez les systèmes, les événements du système, les technologies, les mises à niveau, et tout ce qui est nécessaire pour comprendre au mieux qui a accès à vos données, ce qu’il en fait et comment il les protège. Incluez les entrepreneurs, les fournisseurs, les vendeurs, et même les régulateurs et les clients dans vos plans de surveillance et d’amélioration.
La sécurité de la chaîne d’approvisionnement est un bien commun et une responsabilité
La sécurité de la chaîne d’approvisionnement est une pratique nécessaire pour toute entreprise, pas seulement pour les grandes entreprises. Comme l’a dit mon chef de produit, “Vous n’êtes aussi intéressant que votre client le plus intéressant”. Les attaquants sophistiqués – qu’il s’agisse de syndicats de crime organisé ou d’États-nations – ont appris il y a longtemps qu’ils avaient plus de chance d’accéder à vos données indirectement, par l’intermédiaire de vos partenaires de la chaîne d’approvisionnement.
Vous pouvez considérablement atténuer les risques de la chaîne d’approvisionnement si vous comprenez vos réglementations, votre infrastructure et vos relations avec les fournisseurs. Utilisez les meilleures pratiques de gestion des risques de la chaîne d’approvisionnement pour construire ou renforcer votre programme de sécurité plus large. Surveillez constamment les systèmes, comprenez les mises à jour et les correctifs, évaluez et évaluez vos fournisseurs, et formez constamment vos employés pour anticiper au maximum les vulnérabilités.