Les fournisseurs, cheval de Troie des cybercriminels ?
Face à la multiplication des cyberattaques portées contre la chaîne d'approvisionnement des organisations, il est urgent d'identifier de nouvelles solutions de gérer le risque cyber lié aux tiers.
Selon toute vraisemblance, l’année 2023 marquera un nouveau record dans le nombre de cyberattaques dirigées contre les entreprises, les collectivités locales ou les établissements de santé. La difficulté est que la menace est protéiforme, difficile à prévenir et à traiter. Paradoxalement, l’accélération de la transformation numérique dans les entreprises expose encore davantage au risque cyber. Les données forment aujourd’hui la moelle épinière de presque toutes les organisations, elles s’échangent en permanence en interne et vers l’extérieur, ce qui augmente la surface des attaques possibles. En outre, le panorama de la cybercriminalité se complexifie en permanence, qu’il s’agisse des cibles, des motivations ou des technologies d’attaque.
Il est notamment une cible qui attire de plus en plus les criminels : la chaine d’approvisionnement. Les entreprises doivent gérer en effet plusieurs dizaines, centaines ou milliers de fournisseurs et de sous-traitants, en fonction de leur taille. Ces derniers n’ont pas tous encore la maturité nécessaire en matière de cybersécurité ou ne disposent pas des ressources technologiques, financières, humaines pour assurer une protection efficace de leurs systèmes d’information, lesquels sont souvent en relation avec ceux de leurs donneurs d’ordre, au nom de la digitalisation de la supply chain. En ciblant un maillon de cette chaine d’approvisionnement, les cybercriminels peuvent fort bien atteindre le cœur de cible et ils ne s’en privent pas.
NIS2, DORA : un tournant majeur
Le sujet est à ce point critique qu’il fait l’objet de nouvelles réglementations. La Directive NIS2 de décembre 2022 a constitué un tournant majeur et édicte des exigences plus strictes en matière de gestion des risques et de mesures de sécurité pour un nombre élargi d’entreprises, et en particulier les PME. Quant au Règlement DORA, applicable dès le 17 janvier 2025, il met l’accent sur les activités financières et les incite à identifier les risques et menaces qui pèsent sur l’ensemble de leur écosystème, y compris naturellement leurs fournisseurs de technologies, et à faire en sorte de s’en protéger.
Mais les directives et les règlements sont une chose, leur mise en œuvre opérationnelle dans les entreprises en est une autre. Les entreprises sont conscientes de la montée en puissance de ce risque cyber fournisseurs : il est jugé élevé par 90 % des directeurs de cybersécurité de grands groupes français, selon l’étude réalisée par Board of Cyber en 2023. Pour autant, ce risque n’est suivi par le conseil d’administration que dans une entreprise sur deux.
La gestion du risque fournisseurs: une lourde charge de travail
Ce paradoxe tient à la nature du risque fournisseurs : très complexe à appréhender compte tenu de la diversité et de l’hétérogénéité des chaines d’approvisionnement, a fortiori dans les grandes entreprises. Il exige une approche globale, qui prenne en compte l’ensemble de l’écosystème de l’entreprise, alors même qu’un certain nombre de fournisseurs (en particulier des PME) éprouvent encore des difficultés à réaliser les investissements nécessaires pour faire face aux risques cyber. En outre, identifier et évaluer l’ensemble de ces risques représente, même pour les grandes entreprises, une charge de travail lourde et coûteuse et la mise en œuvre de process complexes.
Pourtant, les entreprises n’ont d’autre choix que d’évaluer et gérer le risque cyber fournisseurs. Elles n’y parviendront que par une certification et un audit systématique de tout l’écosystème et d’une automatisation complète du processus d’évaluation.