Cybersécurité dans la chaîne d’approvisionnement : quel est le problème ?

Q&A avec John Pescatore, SANS Director of Emerging Security Trends

John Pescatore, SANS Director of Emerging Security Trends
John Pescatore, SANS Director of Emerging Security Trends

Quels défis de sécurité spécifiques sont inhérents à la chaîne d’approvisionnement ?

Le plus gros problème est que, trop souvent, les décisions relatives à la chaîne d’approvisionnement sont prises sans impliquer l’équipe de sécurité, ou sans même penser à la sécurité. Les fournisseurs et les partenaires sont généralement évalués en fonction des risques financiers, mais pas en fonction des risques de cybersécurité liés à l’utilisation de leurs produits ou services, ou aux contacts en ligne avec eux.

 

Quelles leçons les organisations ont-elles jusqu’à présent tirées des incidents du passé, tels que par exemple SolarWinds ou Okta ?

Souvent, ce n’est que lorsqu’elles sont confrontées à une brèche ou à une atteinte à leur sécurité que les organisations se rendent compte qu’elles ont différents problèmes concernant la sécurité de leur chaîne d’approvisionnement :

  1. ne pas savoir exactement combien de fournisseurs elles ont, ni où sont utilisés les services, les produits ou les connexions de tiers ;
  2. une trop grande importance accordée aux indicateurs de risque financier et aux procédures contractuelles, telles que l’obligation pour tous les fournisseurs de souscrire une assurance professionnelle dans l’espoir qu’elle couvrira le coût d’éventuels incidents ;
  3. la prise de conscience que même les programmes de gestion de la chaîne d’approvisionnement les plus robustes pour les produits physiques, par exemple dans la production et le retail, ne fonctionnent pas pour les logiciels.

 

Quelles mesures ont-elles ensuite pris ?

Nous constatons que les organisations utilisent de plus en plus des services tels que BitSight, Prevalent, Risk Recon et Security Scorecard pour évaluer leurs risques en matière de cybersécurité. Ces acteurs ne peuvent évaluer les risques que sur la base de paramètres visibles de l’extérieur, mais ils peuvent réagir rapidement lorsque le statut du risque change. 

L’accès des fournisseurs tiers est devenu beaucoup plus sûr grâce à l’introduction de l’authentification multifactorielle pour tous les accès distants, ce qui complique les attaques de phishing.

 

Quelles autres mesures peuvent-elles encore prendre ?

Malgré une prise de conscience croissante, la sécurité n’est généralement pas encore un facteur de sélection des partenaires dans la chaîne d’approvisionnement. Les organisations doivent également apprendre à mieux reconnaître les risques que les connexions avec les fournisseurs sont susceptibles de faire peser sur leurs processus d’entreprise.

 

Comment évoluera la menace ?

Les hackers utiliseront l’IA et les outils d’apprentissage automatique pour lancer des attaques plus ciblées. En revanche, des défenseurs compétents peuvent utiliser ces mêmes technologies pour détecter plus rapidement et plus précisément les éléments suspects. 

 

Quelles mesures les organisations peuvent-elles prendre pour sécuriser leur chaîne d’approvisionnement et se préparer aux menaces futures ?

Le service des achats doit prendre en compte l’aspect sécurité dans toutes les décisions liées à la chaîne d’approvisionnement. Il convient de fournir les outils adéquats et d’acquérir les compétences requises pour procéder à des évaluations rapides de la sécurité sans causer d’interruptions ou de retards, et de surveiller les partenaires potentiellement à risque si l’entreprise ne peut s’en passer.

 

 

À propos du SANS Institute

Le SANS Institute, organisme coopératif de recherche et d’éducation, a été créé en 1989. Aujourd’hui, SANS est le fournisseur le plus fiable et de loin le plus important de formation et de certification en cybersécurité pour les professionnels des institutions gouvernementales et commerciales du monde entier. Des formateurs SANS de renom dispensent plus de 60 cours lors d’événements de cybersécurité en personne et virtuels, ainsi que sur la plateforme OnDemand. 

Le GIAC, affilié à l’institut SANS, valide les compétences des praticiens par plus de 35 certifications pratiques et techniques en cybersécurité. Le SANS Technology Institute, une filiale indépendante accréditée au niveau régional, offre des diplômes de Master et de licence, des certificats d’études supérieures et un certificat de premier cycle en cybersécurité. SANS Security Awareness, une division de SANS, fournit aux organisations une solution complète de sensibilisation à la sécurité, leur permettant de gérer leur risque « humain » de cybersécurité de manière simple et efficace. SANS fournit également de nombreuses ressources gratuites à la communauté InfoSec, y compris des projets de consensus, des rapports de recherche, des webcasts, des podcasts et des bulletins d’information. L’organisation exploite également le système d’alerte précoce d’Internet, baptisé « Internet Storm Center ». 

SANS est centrée sur les nombreux professionnels de la sécurité, représentant diverses organisations internationales, des entreprises aux universités, qui œuvrent ensemble pour soutenir et éduquer la communauté mondiale de la sécurité de l’information.

www.sans.org

Paul Geens

Paul Geens

PR consultant, Evoke

 

Recevez des mises à jour par e-mail

En cliquant sur « S'abonner », je confirme avoir lu et accepté la Politique de confidentialité.

À propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Contact

Witte Patersstraat 4 1040 Brussel

+32 486 42 90 91

[email protected]

www.evokepr.be