Sécurité de la supply chain : 3 entreprises sur 4 ont défini un processus de réponse sur incident

0

CyberVadis, entreprise française filiale d’EcoVadis et dédiée à l’évaluation basée sur la revue de preuves de la cybersécurité des fournisseurs, tiers et partenaires externes des entreprises, publie les résultats de son rapport 2021 « Cybersécurité de la Supply Chain : 5 défis clés à relever », avec 1 289 entreprises de tailles et de secteurs différents sondées dans 67 pays. Cependant, seuls 4 % des fournisseurs évalués réalisent des exercices de crise réguliers.

Tribune – Ce rapport se concentre sur cinq sujets clés : la confidentialité des données et la conformité au Règlement général sur la protection des données (RGPD), la gestion des accès, la sécurité du cloud, la détection et la réponse à incident ainsi que la continuité d’activité et la gestion de crise.

Depuis le début de la pandémie de Covid-19, la généralisation des accès distants aux ressources des entreprises, ainsi que la recrudescence des cybermenaces, ont fait émerger de nouveaux défis de cybersécurité. Un changement radical s’est opéré dans la relation entre les lieux de travail et les technologies digitales, ce qui a conduit les entreprises à renforcer leur politique en matière de sécurité et de conformité. Aussi, le rapport révèle que 49 % des entreprises évaluées par CyberVadis déclarent former leurs employés aux bonnes pratiques de protection des données.

Au-delà des collaborateurs, cette transformation structurelle au sein des entreprises comporte des risques inhérents, liés notamment aux partenaires et fournisseurs tiers. Il est en effet de plus en plus courant pour les entreprises de recourir à des services tiers dans presque tous les domaines possibles de son organisation, que cela concerne l’IT, le juridique, le marketing, les RH, et bien d’autres encore. Par conséquent, ils peuvent traiter les données de l’entreprise ou de ses employés, avoir une connexion ou un accès aux systèmes ou, d’une manière ou d’une autre, être essentiels aux opérations de l’organisation avec laquelle ils interagissent. Pourtant, seules 22 % des organisations s’assurent que le processus d’achat comprend des contrôles dédiés à la conformité et à la confidentialité des données.

« Il est important de bien connaître ses fournisseurs et de s’assurer qu’ils ont mis en place des mesures de cybersécurité appropriées afin de réduire la probabilité d’un incident qui pourrait avoir un impact négatif sur l’entreprise, explique Thibault Lapédagne directeur cybersécurité chez CyberVadis. La supply chain est devenue la voie royale vers les systèmes des entreprises pour les cybercriminels. Cependant, à ce jour, un trop faible nombre d’entreprises surveille la performance sécurité de leurs chaînes d’approvisionnement et les risques associés, faute de moyens ou de temps, ou sur la base d’évaluations déclaratives. »

La sensibilisation à la protection des données et la conformité au RGPD

En matière de RGPD, le cabinet d’avocats DLA Piper estime que les amendes pour non-conformité ont augmenté de 40 %. La France est le pays ayant infligé la plus lourde amende contre une entreprise, mais elle se situe en troisième position des montants cumulés des sanctions. Alors que la plupart des organisations sont conscientes des exigences du RGPD, trop nombreuses sont celles qui se concentrent sur les politiques internes de traitement des données et négligent une menace encore plus grande : le risque de cyber sécurité des tiers. L’étude de CyberVadis révèle en effet que moins d’une entreprise sur trois (29 %) a évalué les risques liés au non-respect potentiel de la réglementation sur la confidentialité des données.

Les risques induits pas la normalisation du télétravail et des accès distants

Selon CyberVadis, 62 % des entreprises évaluées déclarent autoriser l’accès à distance à leurs systèmes. Toutefois, à mesure que les collaborateurs se connectent à distance depuis un réseau domestique, via leurs appareils professionnels et parfois personnels, de nouveaux accès se mettent en place et la surface d’attaque sur l’infrastructure de l’entreprise s’étend à partir des multiples points d’accès.

Il est par conséquent essentiel que les organisations adoptent des pratiques d’authentification avancées, pour faire face à la menace croissante. Mais elles accusent un certain retard sur ces mesures spécifiques, puisque seules 37 % des entreprises déclarent avoir déployé l’authentification forte pour leurs comptes à privilèges. Seulement 25 % des entreprises ont défini une stratégie de gestion des accès par les tiers à leurs systèmes d’information.

L’accélération du basculement vers le cloud

Alors que la pandémie a entraîné une accélération de l’adoption du cloud dans le monde, augmentant ainsi les risques inhérents à la digitalisation des activités opérationnelles, ce sujet n’est que trop peu encadré, seules 26 % des sociétés évaluent les risques liés à l’externalisation dans le cloud ; 30 % demandent à leur fournisseur de service cloud de prouver qu’il a mis en place un processus de réponse à incident ; et 34 % que ce dernier a un plan de continuité. Face à la menace croissante, et compte tenu de l’impact potentiel pour la supply chain en cas de faille, il est indispensable que les entreprises renforcent leurs pratiques.

L’anticipation et la préparation : clés de la sécurité

Toute entreprise doit considérer qu’elle sera tôt ou tard victime d’une cyberattaque, et donc s’y préparer en conséquence. Un plan de détection et de réponse à incident doit être implémenté, et révisé régulièrement, à mesure que l’entreprise croît et se développe. De plus, face aux attaques qui se multiplient, il est essentiel de mettre en place une politique tirant les enseignements nécessaires des attaques perpétrées dans le passé, que ce soit à l’encontre de l’entreprise elle-même ou bien envers les autres acteurs du marché, afin de se préparer à tous types de scénarios et ainsi être en mesure d’y répondre.

Si 3 entreprises évaluées sur 4 (75 %) ont défini un processus de gestion d’incident, seules 32 % ont déployé une solution de gestion des informations de sécurité et des événements (SIEM) ; et la même proportion a déployé un processus de leçons retenues pour identifier la cause première des incidents et réduire la probabilité de récurrence.

De l’importance de la gestion de crise

La pandémie de Covid-19 a mis en évidence l’importance d’anticiper les événements non planifiés et de mettre en œuvre les mesures nécessaires pour gérer une situation critique. Les capacités de gestion de crise sont essentielles, mais le rapport démontre certaines lacunes. Seulement 4 % des entreprises interrogées effectuent des exercices réguliers de gestion de crise ; un chiffre bien trop faible face aux cybermenaces qui planent au-dessus des entreprises. L’un des aspects clés d’un plan de gestion de crise réussi est de s’assurer que l’équipe dédiée est bien formée et préparée à réagir rapidement en cas d’événement majeur, mais également capable de diriger l’activation du plan de continuité des activités (PCA), qui contribue à la résilience de l’entreprise.

« Chez CyberVadis, nous ne croyons pas à l’auto-évaluation, cela revient à se baser sur la bonne foi de l’entreprise. Or, lorsque des données sensibles et confidentielles sont en jeu, le doute n’a pas sa place, explique Estelle Joly, VP Strategy & Operations chez CyberVadis. Les résultats de notre étude démontrent une évolution positive des pratiques de sécurité au sein de la supply chain, mais révèle également d’importantes zones d’améliorations sur lesquelles nous nous attachons à accompagner nos clients. »

Méthodologie

CyberVadis a analysé les résultats d’évaluations de 1 289 entreprises de toutes tailles et secteurs réparties dans 67 pays. Dans le cadre de cette étude, les équipes de CyberVadis ont analysé l’ensemble des contrôles de cybersécurité déclarés par les entreprises évaluées sur la base des preuves fournies.

Le rapport complet peut être téléchargé ici : https://cybervadis.com/supply-chain-cybersecurity5-key-challenges-to-overcome/

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.