La supply chain : comment assurer une cybersécurité forte ?
Dans sa politique de lutte contre la cybermalveillance, l’État français a décidé d’investir près de 1 milliard d’euros pour lutter contre les attaques informatiques qui sont devenues pour l’État l’une des priorités majeures.
L’objectif de cet investissement consistera à accroître la main d’œuvre et les compétences dans le domaine de la sécurité informatique d’ici l’année 2025.
Cet article va aussi vous intéresser : EDF vers la blockchain à travers Exaion
Ce besoin s’inscrit notamment dans un contexte où la cybermalveillance se multiplie à vue d’œil, au même titre que la numérisation de service. En effet il faut quand même signifier que l’une des principales causes de l’explosion de la cybercriminalité et l’augmentation de l’usage d’Internet et les outils informatiques. Les deux évolutions vont donc de pair.
Bien évidemment, le risque principal réside dans la chaîne d’approvisionnement. Les cinq dernières années prouvent à quel point la supply chain peut influencer grandement l’évolution ou la mise en mal d’un service public privé ou même sanitaire. Dans ce contexte le gouvernement, cherche plutôt à adopter une stratégie qui vise une meilleure gestion des risques de la supply chain.
« Alors que les cyberattaques sont désormais beaucoup plus complexes et fréquentes, les entreprises confient les activités non essentielles à des fournisseurs externes pour une question de rentabilité. Bien que cela les aide à devenir plus compétitives et plus flexibles, cette approche les expose aussi à de nouveaux risques.
Les fournisseurs directs ne sont plus les seuls acteurs dont il est nécessaire de se préoccuper. Les risques peuvent exister très loin dans la supply chain. Par exemple, lorsqu’une entreprise achète du matériel à un fournisseur, qui utilise à son tour des composants tiers non sécurisés dans un produit, elle devient, in fine, plus vulnérable. Prenons le cas d’une entreprise dans l’industrie du retail qui sous-traite une partie de ses opérations informatiques à un partenaire externe – qui, lui-même, sous-traite certains aspects du projet à une petite entreprise locale. Toute violation subie par l’entreprise locale pourrait avoir des répercussions sur l’entreprise initiale. », souligne Vishal Salvi, Directeur de la sécurité de l’information et responsable de la pratique de la cybersécurité chez Infosys.
Toutefois force est de constater que la majorité des entreprises, ne dispose pas de suffisamment de visibilité qui leur permettront d’évaluer efficacement les violations et toute autre forme d’un incident de sécurité. Cela y va pour ce qu’il en est de l’identification de la menace informatique. Ce qui nécessite alors un changement dans les attitudes lorsqu’il s’agit de déployer des mesures de sécurité informatique. Il n’est pas à exclure aussi la possibilité pour les équipes d’adopter un point de vue partenariat lorsqu’il s’agit de développer un cadre sécuritaire strict. Cet aspect aussi demande une certaine formation et sensibilisation des fournisseurs, en d’autres termes une extension du périmètre de sécurité de l’entreprise.
« Les fournisseurs jouent un rôle clé dans la sécurité des données. Il est donc essentiel d’inclure toutes les garanties nécessaires dans le contrat, telles qu’une clause de « droit d’audit » ou des délais convenus pour signaler les incidents. L’accord doit ainsi fournir des directives détaillées pour le désengagement des fournisseurs. Par exemple, exiger que toutes les données de l’entreprise soient détruites par le fournisseur après avoir été utilisées. Il peut s’avérer être utile de préconiser des pratiques telles que l’analyse statique du code par un tiers, l’analyse régulière de la sécurité des environnements locaux et dans le cloud, le DevSecOps et la vérification de l’intégrité des codes pour les fournisseurs. », note Vishal Salvi.
Bien sûr tous les fournisseurs ne s’inscrivent pas dans le même contexte sécuritaire. Le degré de menace que peut représenter un fournisseur dépend de la nature des données auxquelles il peut avoir accès. Plus les données sont sensibles, plus le risque est élevé. Cependant, « L’IA et le machine Learning peuvent être utilisés pour exploiter les données existantes des fournisseurs afin d’améliorer le processus de gestion des risques. Il est fortement recommandé de concevoir un questionnaire contextuel aligné sur l’appétit pour le risque des entreprises et qui exige des preuves explicites des politiques. Il doit également s’aligner sur les normes et réglementations du secteur. », comme l’explique Vishal Salvi.
En somme, la cybersécurité de la supply chain repose sur de la discipline. Une culture qui doit être forgée par une certaine sensibilisation au sein de l’entreprise. Les autorités ont aussi leur rôle à jouer dans la régulation.
Accédez maintenant à un nombre illimité de mot de passe :