La cybersécurité de la chaîne d’approvisionnement n’est aussi forte que le maillon le plus faible
4 min read
Si vous avez un adolescent à la maison, vous êtes peut-être tombé sur le jeu en ligne Parmi nous. Installés sur une station spatiale, les joueurs courent comme des extraterrestres d’apparence identique, c’est-à-dire jusqu’à ce qu’un joueur soit repoussé. Les joueurs restants doivent alors deviner lequel de leurs coéquipiers est en fait une taupe qui fait des ravages.
Une vieille idée avec une cure de jouvence moderne, le jeu en ligne n’est pas à des millions de kilomètres de la nouvelle frontière des cybermenaces : les attaques de la chaîne d’approvisionnement. De CloudHopper à SolarWinds, les entreprises ont vu la fraude par e-mail et la compromission de compte faire tomber des systèmes entiers. Plus inquiétant encore, les entreprises ne peuvent plus simplement compter sur leurs propres systèmes de sécurité – il suffit d’une faille de cybersécurité dans la chaîne d’approvisionnement pour que des données sensibles soient divulguées à des criminels.
Notre industrie n’est pas naïve face au nombre croissant d’attaques capitalisant sur notre interconnectivité toujours croissante. Alors que les petites et grandes entreprises partagent des données et des actifs à grande échelle, nos vulnérabilités collectives se multiplient, devenant des cibles plus attrayantes pour les attaquants qui espèrent voir les dominos tomber un par un.
Une méthode principale utilisée par les criminels pour attaquer les chaînes d’approvisionnement est l’usurpation d’identité, qui peut être remarquablement sophistiqué. Les cybercriminels peuvent passer des mois à traquer les comptes de médias sociaux des employés et les communiqués de presse de l’entreprise afin de déterminer les détails d’une chaîne d’approvisionnement, de déduire où ils pourraient s’insérer pour détourner frauduleusement des factures ou encourager les employés à se livrer à des escroqueries par hameçonnage.
Alors que les entreprises mondiales peuvent avoir les ressources nécessaires pour employer des équipes de cybersécurité capables d’évaluer et de contenir le risque d’attaques telles que celles-ci, de plus en plus de criminels ciblent les petites entreprises en aval de la chaîne en tant que portes dérobées vers des données de consommation incroyablement sensibles.
Les professionnels de la cybersécurité ont subi d’immenses pressions au cours des 18 derniers mois pour gérer la menace sur plusieurs fronts. Alors qu’il y a 10 ans, seuls les cybercriminels les plus sophistiqués – généralement parrainés par des États hostiles – pouvaient paralyser l’infrastructure nationale et les affaires mondiales, les pirates informatiques effectuant des attaques de ransomware représentent désormais un risque plus important pour la sécurité nationale du Royaume-Uni, selon le Centre national de cybersécurité.
Alors, comment pouvons-nous garantir que la cybersécurité reste robuste tout au long des chaînes d’approvisionnement ?
Les entreprises doivent reconnaître leur responsabilité partagée pour s’assurer que la chaîne d’approvisionnement est cyber-sécurisée. Toutes les entreprises ont la responsabilité de se sécuriser afin de protéger leurs parties prenantes, leurs clients et leurs clients. Cependant, selon le Enquête DCMS sur les atteintes à la cybersécurité publié en mars 2021, seulement 12% des entreprises britanniques ont évalué le risque de cybersécurité posé par leurs fournisseurs.
C’est une statistique qui donne à réfléchir et reflète une attitude générale parmi les cadres supérieurs selon laquelle la cybersécurité n’est encore qu’une considération secondaire pour la direction. Une préoccupation régulière soulevée par les RSSI est le manque de ressources pour protéger adéquatement les systèmes de l’entreprise, et encore moins évaluer les systèmes des fournisseurs.
Nous avons donc besoin d’un changement d’orientation. Il n’est plus excusable de faire des boucs émissaires des services de cybersécurité sous-équipés, ou d’attendre naturellement des fournisseurs qu’ils soient suffisamment sécurisés. La cybersécurité, y compris l’évaluation de la conformité à la cybersécurité tout au long de la chaîne d’approvisionnement, devrait faire partie intégrante de chaque entreprise opérant dans le monde de plus en plus en ligne d’aujourd’hui, et les fournisseurs doivent être tenus de respecter des exigences minimales en matière de cybersécurité.
Alors que les cyberattaques deviennent de plus en plus fréquentes et sophistiquées, les entreprises doivent s’assurer qu’elles ne sont pas laissées pour compte. Aujourd’hui plus que jamais, les entreprises doivent tirer parti des projets de partage de connaissances prolifiques au sein de l’industrie de la cybersécurité, tels que SASIG, afin de rester à jour et d’être à l’affût des dernières menaces.
Il est également essentiel que l’industrie fasse entendre sa voix alors que le gouvernement réfléchit à sa nouvelle stratégie de cybersécurité.
