Supply chain & cybersécurité : tenants et aboutissants
Actuellement, un nombre croissant de cybercriminels cible la supply chain, car il leur suffit d'infiltrer une entreprise pour accéder à d'autres organisations par rebond. Il est donc primordial de comprendre ce qu'est la supply chain pour que tous ses acteurs puissent travailler de concert à sa protection.
La supply chain englobe toutes les parties tierces avec lesquelles une entreprise collabore. Il peut donc s’agir de fournisseurs, de partenaires, ou encore de prestataires. En français, on parle également de chaîne d’approvisionnement ; elle est cependant souvent confondue avec la chaîne logistique, qui ne considère que les acteurs ayant un rôle dans la production et la distribution d’un bien.
D’un point de vue cybersécurité, la supply chain représente l'ensemble des actifs et des logiciels utilisés, ce qui a trait au stockage dans le cloud ou sur site, ainsi qu’à l’ensemble des interactions qui contribuent à l’activité d’une entreprise. Elle concerne donc tous les secteurs, parfois même plusieurs au sein d’un même écosystème. Par exemple, une organisation proposant des dispositifs médicaux peut sous-traiter une partie de sa production à une entité tierce, avoir souscrit à un service de gestion des stocks et à une solution d’infogérance de ses outils IT. Trois acteurs de la chaîne d’approvisionnement de secteurs différents travaillent donc pour une même entité, avec laquelle ils partagent des données.
En outre, il est de plus en plus courant pour les entreprises d'utiliser des services tiers pour de nombreux pans de leur organisation. Les fournisseurs externes peuvent ainsi proposer des services tels que l'informatique, le juridique, le marketing ou encore les RH. Par conséquent, ils sont susceptibles de traiter les données de l’entreprise ou de ses employés, avoir une connexion ou un accès à ses systèmes ou, d'une manière ou d'une autre, être essentiels à ses opérations.
La supply chain est visée de manière croissante par les cybercriminels depuis plusieurs années, en témoignent les récentes attaques portées contre SolarWinds ou encore Kaseya. En effet, si les organisations ont davantage conscience des cybermenaces qui les ciblent et se protègent en conséquence, elles n’imposent pas encore cette même rigueur vis-à-vis de leurs parties tierces, bien souvent faute de moyens ou de temps. Ainsi, selon notre dernier rapport, seulement 25 % des entreprises ont défini une stratégie de gestion des accès des tiers à leurs systèmes informatiques. Concrètement, les attaques contre la chaîne d'approvisionnement exploitent les relations de confiance entre une organisation et des parties externes, que ce soit des partenaires et des fournisseurs, ou bien par le biais de l’utilisation de logiciels tiers. Les cybercriminels ciblent donc le maillon le plus faible de cette chaîne de confiance. Une fois qu'ils parviennent à s’infiltrer sur ce premier réseau, ils atteignent ensuite le réseau initialement ciblé par rebond.
Les cyber-risques liés à la supply chain ont augmenté depuis le début de la pandémie avec l’adoption massive du télétravail, et du cloud qui s’en est suivi, pour permettre la continuité des activités grâce aux outils numériques. Ces technologies représentent de nouveaux maillages de la supply chain. Or, cette dernière est aussi sécurisée que son maillon le plus faible. Les organisations doivent par conséquent avoir une vue holistique du niveau de sécurité de tout leur écosystème, et être en mesure de vérifier régulièrement la maturité des tiers avec lesquelles elles collaborent, en termes de cybersécurité mais aussi de conformité.
L’objectif est de s’assurer qu’aucun acteur ne présente de vulnérabilités et ne pose un danger pour tous les autres maillons de la chaîne ; un enjeu majeur si les entreprises veulent éviter l’effet papillon, avec une surface d’attaque qui ne cesse de s’étendre du fait de la digitalisation croissante, mais aussi la sophistication toujours accrue des cyberattaques. La cybersécurité doit en effet être un effort collectif : il en est de la responsabilité de chaque entreprise de ne pas représenter une menace pour les autres. C’est seulement en présentant un front commun et uni qu’elles pourront faire face à la recrudescence des cybermenaces.