Protéger sa supply chain et son écosystème face aux risques cyber en 2021

0
103

L’année 2020 a mis à rude épreuve de nombreuses organisations sur le plan financier et opérationnel. Bon nombre d’entre elles ont dû agir en urgence afin de continuer à fonctionner durant la pandémie et pour certaines, cela a impliqué de contourner les processus en place, entraînant alors l’apparition de nouveaux risques cyber.

Tribune par Oliver Cronk, Chief IT Architect EMEA chez Tanium – Les attaques récentes contre des acteurs majeurs de la cybersécurité ont exacerbé l’importance d’évaluer les risques posés par les tiers. Voici quelques conseils pour surmonter les défis cyber visant la supply chain.

Un recours accru à l’architecture en écosystème peut poser de nouveaux risques

La crise sanitaire a mis en lumière la question des risques cyber liés aux fournisseurs, les organisations adoptant une architecture d’écosystème dans laquelle elles tirent parti d’un ensemble de produits et de services fournis par des tiers, à l’image des services dans le Cloud. Cette évolution présente de nombreux avantages, comme la possibilité d’adapter les services en fonction des besoins et de disposer de différentes structures de coûts. Toutefois, il existe des risques supplémentaires à prendre en compte, tels que l’augmentation des vecteurs d’attaque et la difficulté d’accorder une confiance aveugle en sa supply chain numérique. C’est pourquoi l’évaluation des risques liés à l’architecture de l’écosystème IT et aux processus de gouvernance d’une organisation doit être menée en permanence, et non uniquement au moment de l’intégration d’un nouveau fournisseur.

L’impératif d’une bonne hygiène cyber

Négliger la technologie et son hygiène en matière de cybersécurité peut exposer les organisations à de multiples cyberattaques. Dans un monde où chaque ordinateur portable, tablette ou téléphone appartenant à une entreprise ou à un particulier est la première ligne de défense en matière de cybersécurité, il est vital de veiller à leur bonne gestion. Après tout, la sécurité physique et cyber d’une organisation ne sont pas particulièrement efficaces lorsque ces terminaux ne se trouvent pas sur site.  C’est pourquoi les fournisseurs doivent disposer d’un inventaire précis de leurs terminaux, connaître l’état des correctifs et les versions des logiciels installés. Ils doivent également être en mesure d’appliquer ces correctifs, de mettre à jour rapidement et de résoudre tout problème sur ces terminaux, afin de rester en phase avec le paysage changeant des risques cyber.

Maîtriser sa supply chain virtuelle

La crise sanitaire a mis en lumière la vulnérabilité des organisations face aux risques engendrés par leur supply chain numérique. Cela signifie que le développement des logiciels ou services des fournisseurs peuvent avoir un impact direct sur une organisation. Des structures DevOps – c’est-à-dire la collaboration entre les équipes de développeurs et les équipes opérationnelles – complexes et automatisées, l’utilisation de code open source, une configuration non sécurisée de cloud computing et des vulnérabilités de base non corrigées sont autant de vecteurs que les cybercriminels peuvent exploiter. Il est donc essentiel d’évaluer ces risques potentiels, afin que l’écosystème IT d’une entreprise puisse les mitiger efficacement, tout en respectant les normes en vigueur. Ce contrôle strict est primordial pour éviter les atteintes à la réputation liées à l’utilisation de briques technologiques potentiellement compromises.

A ce titre, il ne suffit plus de se préoccuper de sa propre sécurité interne, il faut avoir confiance en la sécurité de l’architecture de son écosystème de bout en bout. En effet, la place occupée par le numérique implique d’agir rapidement, mais cela ne peut se faire au détriment de la sécurité. C’est pourquoi mener des tests tout au long du cycle de vie et adopter l’approche DevSecOps constituent des impératifs.

Bien se préparer à l’après COVID-19

L’avancée progressive des campagnes de vaccination devrait permettre de rouvrir dans les prochains mois certains secteurs de l’économie tels que le tourisme. Néanmoins, un nombre important de fournisseurs ne seront pas prêts à redémarrer leurs activités immédiatement. La question de leur résilience se pose, d’autant plus que les réductions de personnel  – en particulier dans leurs équipes informatiques – et la fermeture de sites importants pourraient avoir un impact majeur sur leurs capacités à rebondir.

Il est également important pour les organisations d’évaluer les risques pesant sur les plans de continuité de leurs activités, à mesure que ces activités et les méthodes de travail adoptées font davantage appel au numérique. Pour prévenir une panne d’une des technologies tierces utilisées et ainsi garantir la continuité de l’activité, il est nécessaire de planifier à l’avance les risques physiques et numériques pouvant perturber la supply chain. Trouver le bon équilibre entre services physiques et numériques sans compromettre sa sécurité informatique sera donc essentiel en 2021, à l’heure où les organisations doivent s’adapter rapidement à la réalité d’un monde post-Covid.