Sécuriser la supply chain pour faire face aux cybermenaces

0
119

Les cybercriminels recherchent constamment les points d’entrée les plus vulnérables d’une entreprise. Dans le cadre de cette approche, les partenaires et les fournisseurs se sont avérés être d’excellents vecteurs vers les systèmes et les données les plus critiques des organisations, comme en a témoigné l’attaque contre SolarWinds.

Matthieu Feuillet, sous-directeur opérations de l’Anssi, a récemment évoqué les raisons de la recrudescence de ce vecteur d’attaque :

« comme les grands groupes ont investi, mis des moyens pour protéger l’infrastructure informatique qu’ils gèrent en propre, les cyberattaquants passent de plus en plus par les systèmes d’un sous-traitant ou fournisseur pour atteindre leur cible. »

Selon Thibault Lapédagne, directeur cybersécurité chez CyberVadis, les organisations doivent prendre conscience de la menace et agir en conséquence, en se faisant accompagner si besoin :

« Compte tenu du paysage actuel des menaces, les entreprises ne peuvent plus se permettre de se concentrer uniquement sur leur cybersécurité en interne. Il devient urgent qu’elles s’inquiètent également de celle de toutes les tierces parties avec lesquelles elles partagent un contexte à risque, celles qui peuvent accéder à leur système d’information ou à qui elles confient des données sensibles.

Le niveau de sécurité de ces acteurs de la supply chain doit en effet être équivalent aux exigences des organisations clientes. Or, peu nombreuses sont celles qui surveillent aujourd’hui les risques et les performances de sécurité au sein de leurs chaînes d’approvisionnement ; et face à l’ampleur de la menace, un simple questionnaire déclaratif ne peut constituer une garantie fiable de sécurité pour une entreprise. Il est en effet aisé de prétendre promouvoir une cyber-hygiène exemplaire, alors qu’il en est tout autre dans les faits, notamment si les équipes ne sont pas contrôlées étroitement sur ces sujets.

Une vue holistique sur la sécurité de sa supply chain est pourtant nécessaire pour vraiment mesurer et prévenir les risques. Mais toutes les entreprises ne disposent pas des ressources internes suffisantes afin d’évaluer la cyber-maturité des tiers. Le cas échéant, elles ne doivent pas hésiter à se faire épauler pour mener à bien les évaluations nécessaires.

Il est en effet possible de faire appel à des experts qui pourront travailler à identifier les tiers les plus critiques, conduire des évaluations basées sur la revue de preuve pour déterminer si le niveau de protection est suffisant au regard du contexte partagé avec ce tiers. Si les exigences ne sont pas atteintes, des plans d’amélioration seront élaborés en vue d’atteindre une niveau de risque résiduel acceptable.

L’obtention d’une compréhension des risques cyber dans la supply chain est à présent essentielle pour les projections financières et les relations avec les investisseurs à long terme ; le risque cybersécurité représente en effet un risque majeur dans la majorité des cartographies des risques des entreprises. »

Tribune par Thibault Lapédagne, directeur cybersécurité chez CyberVadis