Cinq façons de gérer les cyber-risques tout au long de la chaîne d'approvisionnement

De nos jours, il est presque impossible de gérer une entreprise sans l'aide de fournisseurs tiers pour aider à la livraison de vos produits, systèmes ou services. Travailler avec des partenaires externes peut présenter de nombreux avantages, notamment des processus plus rationalisés et plus efficaces pour répondre aux demandes accrues des clients. Dans le même temps, de nouvelles entités peuvent apporter de nouveaux risques, notamment dans le domaine de la cybersécurité. Lorsque des entreprises se réunissent et partagent des informations, le risque d'une entreprise devient celui de toute la chaîne.

Les cyberattaques sur la chaîne d'approvisionnement sont en augmentation, avec une augmentation de 42 % aux États-Unis au cours du premier trimestre 2021. Les attaques de ce type sont particulièrement populaires pour les cybercriminels, car elles offrent la possibilité d'infiltrer tout un réseau d'organisations via un seul fournisseur tiers.

Heureusement, comme pour tout type de risque, il existe des moyens de gérer ces menaces avant qu'elles ne présentent un problème. Vous trouverez ci-dessous quelques mesures clés que votre entreprise peut prendre pour minimiser les risques d'attaque contre votre chaîne d'approvisionnement.

Réaliser des évaluations des risques. Lorsque vous établissez de nouvelles relations avec des fournisseurs, il est important de vous assurer de savoir où ils se situent en matière de cybersécurité. Quels contrôles ont-ils en place ? Quels processus et politiques sont utilisés pour garantir que les données sont bien protégées ? Si vous partagez n'importe quel type de données avec vos fournisseurs, en particulier des informations client sensibles, vous voulez savoir qu'elles resteront sécurisées.

C'est aussi une bonne idée de considérer à quel point la relation fournisseur sera globale. Fera-t-il partie de votre chaîne d'approvisionnement immédiate ou vous assistera-t-il de manière ponctuelle ? Tous les partenaires devront être contrôlés, mais ceux qui jouent un rôle essentiel dans votre chaîne d'approvisionnement comporteront plus de risques et nécessiteront plus de prudence.

Définir les exigences de sécurité. Pour favoriser une relation transparente avec vos fournisseurs et définir des attentes claires entre vous, il peut être utile de définir une politique fournisseurs.

Avec un tel document, vous pouvez consacrer des sections à la cybersécurité et à la protection des données, décrivant le niveau de sécurité que vos fournisseurs doivent être en mesure de démontrer. L'un des moyens les plus simples d'y parvenir est de demander à vos fournisseurs de s'aligner sur un ensemble existant de normes et de certifications de cybersécurité. Aux États-Unis, les plus populaires incluent ISO 27001, qui est internationalement reconnue, et le cadre NIST. Au Royaume-Uni, la norme de cybersécurité du gouvernement, Cyber ​​Essentials, aide les entreprises à réduire de 80 % les risques en s'alignant sur cinq contrôles techniques critiques. Se conformer à ces normes peut être un moyen facile pour vos fournisseurs de démontrer une bonne posture de cybersécurité.

Lorsque vous définissez les exigences de sécurité de vos fournisseurs, il est recommandé de s'assurer que votre propre entreprise les respecte déjà. En participant à une chaîne d'approvisionnement, vous vous connectez avec tous les autres; toute amélioration que vous apportez à vos propres postures de sécurité ne fera que renforcer la chaîne globale.

Mettre en œuvre une formation sur la cybersécurité. L'erreur humaine reste la première cause des cyberattaques. En tant que tel, c'est l'un des éléments les plus vitaux à traiter. Bien que vous deviez toujours vous efforcer de favoriser une culture de sensibilisation à la cybersécurité au sein de votre propre entreprise, cette pratique doit également être encouragée tout au long de la chaîne d'approvisionnement.

Envisagez de partager des ressources avec les fournisseurs pour les aider à sensibiliser leurs employés aux cyber-risques. Il existe de nombreux exercices et articles en ligne gratuits offrant des conseils aux entreprises.

Transferts de données sécurisés. Les données au sein de la chaîne d'approvisionnement doivent être transférées via des canaux sécurisés et protégées à tout moment. Les pirates sont plus susceptibles d'intercepter des données lorsqu'elles se déplacent d'un endroit à un autre, ce qui rend d'autant plus important le maintien d'une bonne sécurité pendant ce processus. Crypter les données avant de les transférer est un excellent moyen de minimiser ce risque.

Les entreprises doivent également s'assurer d'avoir une image complète des différents types de données présentes dans leur chaîne d'approvisionnement et de leur emplacement. Cela inclut les données internes (ainsi que les systèmes de sauvegarde) et les données auxquelles vos fournisseurs ont accès. Cette information variera probablement en sensibilité. Certaines d'entre elles peuvent être très sensibles, tandis que d'autres sont accessibles au public. Vous pouvez éviter que les données ne tombent entre de mauvaises mains en les classant et en les étiquetant correctement, afin de savoir où se trouvent les informations les plus précieuses.

N'oubliez pas que vous êtes également le fournisseur de quelqu'un. Le plus souvent, un pirate informatique ciblera une petite entreprise pour accéder au reste de sa chaîne d'approvisionnement, s'attendant à ce que ses cyberdéfenses soient minimes ou inexistantes. Nous l'avons vu lors de l'une des premières attaques majeures de la chaîne d'approvisionnement à frapper les médias en 2013, lorsqu'un sous-traitant tiers travaillant avec Target a été compromis, permettant à des pirates de voler des millions de détails de carte de crédit client sur le réseau interne du détaillant.

Les petites entreprises doivent non seulement prendre en compte la sécurité de leurs fournisseurs, mais doivent également maintenir un niveau élevé de cybersécurité pour convaincre les partenaires plus importants qu'ils ne représentent pas un risque pour la sécurité. De nombreuses entreprises, en particulier dans le secteur public, exigent désormais que certaines normes de sécurité soient respectées par tous leurs fournisseurs avant de conclure des contrats avec eux.

La gestion des cybermenaces au sein de la chaîne d'approvisionnement ne doit pas être une tâche ardue, mais il est important d'assumer la responsabilité de vos propres risques et de maintenir des normes cohérentes en matière de cybersécurité. Il est dans l'intérêt de chaque entreprise de comprendre les processus, les politiques et les solutions de sécurité de tous les partenaires. Non seulement ces étapes réduisent les risques pour l'ensemble de la chaîne d'approvisionnement, mais elles démontrent également aux clients, partenaires et parties prenantes que leurs secrets sont en sécurité avec vous.

Clive Madders est directeur de la technologie chez Cyber ​​Tec Security .