Peur de la cybersécurité de la chaîne d'approvisionnement ? 5 raisons pour lesquelles vous n'avez pas assez peur - Partie 2

Évaluer les risques de cybersécurité dans la chaîne d'approvisionnement

Un aspect particulièrement pernicieux des cyberattaques est la façon dont les menaces sont toujours « en mouvement », déclare Katherine Barrios, directrice du marketing chez Xeneta. .

De par leur nature même, les attaquants tentent de contourner les barrages routiers et les contre-mesures.

Garder une longueur d'avance sur les menaces - comme l'attaque du ransomware WannaCry ou WannaCrypt et le "Petya" en évolution rapide est un défi. « WannaCry » a touché plus de 230 000 ordinateurs dans plus de 150 pays, le plus grand nombre de dommages étant infligés au British National Health Service Compagnie de téléphone espagnole Telefonica et les chemins de fer de l'État allemand. "Petya" n'a pas seulement impacté Maersk Line mais aussi l'infrastructure informatique de nombreuses autres entreprises, telles que la multinationale pharmaceutique Merck , annonceur WPP , entreprise alimentaire Mondelez , et le cabinet d'avocats DLA Piper.

Lorsqu'un virus affecte une compagnie maritime comme Maersk Line qui est responsable du flux de marchandises (flotte, conteneurs), l'effet d'entraînement sur la chaîne d'approvisionnement est rapide et énorme (Olivia Solon et Alex Hern, "'Petya' Ransomware Attack:What Est-ce et comment peut-on l'arrêter ? The Guardian .)

Les groupes et les individus hostiles en mouvement rapide possèdent la « persistance, les compétences tactiques et les prouesses technologiques » pour endommager et détruire les principaux systèmes SCM, y compris, ce qui est inquiétant, la chaîne logistique (PWC, US Cybercrime).

Que ce soit par le biais de logiciels malveillants (« logiciels malveillants »), tirant parti des informations d'identification compromises mises à disposition dans l'Internet « underground », le déni de service distribué (DDoS) (une perturbation des systèmes par un acteur malveillant) et les injections SQL (l'insertion de code malveillant dans Query Language), parmi d'autres tactiques, les pirates sont inventifs (Drew Smith, "Is your supply chain safe from cyberattacks?" Supply Chain Quarterly).

De plus, bien que quelque peu atténué par la formation des employés, il n'est pas toujours possible d'éviter les événements internes – ceux résultant des vulnérabilités des employés. Les événements d'initiés peuvent inclure le phénomène d'ingénierie sociale (lorsqu'un criminel accède à des bâtiments, des systèmes ou des informations en exploitant la psychologie humaine des employés). Il y a aussi l'utilisation occasionnelle des appareils par les employés et la mauvaise gestion des informations par les travailleurs qui n'adhèrent pas aux meilleures pratiques (PWC, US Cybercrime).

L'ampleur potentielle des cybermenaces de la chaîne d'approvisionnement

Fondamentalement, la gestion de la chaîne d'approvisionnement « aide à maintenir la vie humaine – Les humains dépendent des chaînes d'approvisionnement pour fournir des produits de première nécessité tels que la nourriture et l'eau » (CSCMP, The Council of Supply Chain Management Professionals, « L'importance de la gestion de la chaîne d'approvisionnement »).

Toute perturbation pourrait provoquer un effondrement de la société. En raison de la panne informatique causée par Petya, les travailleurs ont dû surveiller manuellement les niveaux de rayonnement à la centrale nucléaire de Tchernobyl et les citoyens de Kiev n'ont pas pu accéder aux distributeurs automatiques de billets. (Nicole Perlroth, Mark Scott et Sheera Frenkel, « La cyberattaque frappe l'Ukraine puis se propage à l'échelle internationale », New York Times ).

Les risques potentiellement mortels fin juin étaient très réels - avec l'attaque du ransomware se propageant à Heritage Valley Health System, qui exploite les hôpitaux Heritage Valley Sewickley et Heritage Valley Beaver dans l'ouest de la Pennsylvanie, l'est de l'Ohio et la Virginie-Occidentale, se bloquant temporairement HVHS systèmes informatiques.

Heureusement, la seule véritable suspension opérationnelle du service s'est produite dans les sites communautaires de laboratoire et d'imagerie diagnostique du réseau de prestation de soins de santé, ces services étant désormais « entièrement fonctionnels ». (« Mises à jour sur l'incident de cybersécurité au système de santé Heritage Valley », Derniers messages d'actualité, HVHS).

Les exportations et les importateurs sont toujours « hantés » par les retards dus à la fermeture du système dans les installations de Maersk et d'APM Terminals – Maersk Line renonçant en conséquence aux frais de surestaries et de détention qui se sont produits. (Mike Wackett, « La cyberattaque continue de hanter Maersk alors qu'elle lutte pour récupérer des volumes », The Loadstar ).

On ne peut qu'imaginer un impact à plus grande échelle d'un événement déclencheur similaire à l'avenir. La prochaine perturbation dans le mouvement des personnes et des biens dans la chaîne d'approvisionnement pourrait entraîner des retombées sociétales plus graves au-delà de la simple performance de l'entreprise. (Forum économique mondial , Nouveaux modèles de gestion des risques liés à la chaîne d'approvisionnement et au transport :une initiative du réseau de réponse aux risques en collaboration avec Accenture ).

Cyber ​​complexité

Une autre raison lamentable pour laquelle nous « devrions avoir peur » pour l'avenir de la chaîne d'approvisionnement/du réseau de transport est la complexité des cybermenaces.

Michael Daniel détaille le niveau de complexité dans son article, « Pourquoi la cybersécurité est-elle si difficile ? Revue commerciale de Harvard :

« Le cyberespace fonctionne selon des règles différentes de celles du monde physique. Je ne parle pas des « règles » sociales, mais plutôt de la physique et des mathématiques du cyberespace. La nature nodale d'un réseau à la vitesse de la lumière signifie que des concepts tels que la distance, les frontières et la proximité fonctionnent tous différemment, ce qui a de profondes implications pour la sécurité. »

Parce qu'il n'y a pas de proximité typique, ni de frontières typiques, les constructions et les solutions du «monde physique» ne fonctionnent pas très bien.

« Par exemple, dans le monde physique, nous confions au gouvernement fédéral la tâche de la sécurité des frontières. Mais étant donné la physique du cyberespace, le réseau de chacun est à la frontière. Si tout le monde vit et travaille juste à la frontière, comment pouvons-nous confier la sécurité frontalière uniquement au gouvernement fédéral? Dans le monde physique, la criminalité est locale : vous devez être à un endroit pour voler un objet, la police a donc des compétences basées sur des limites physiques."

Ce n'est pas le cas dans le cyberespace. Les organisations et les institutions abordent de nouvelles frontières délicates sur le plan juridique et politique, telles que la répartition appropriée des responsabilités entre les gouvernements et l'entreprise privée à protéger. La défense contre les risques (qu'ils proviennent de l'extérieur ou de l'intérieur d'une organisation) nécessite des investissements importants pour faire face aux menaces.

Combattre les cyber-risques dans la chaîne d'approvisionnement :plus grand besoin d'agir

De nombreuses entreprises ne consacrent pas le montant d'investissement nécessaire à la cybersécurité. Alex Bau pense que cela se résume à l'économie comportementale (« L'économie comportementale expliquant pourquoi les dirigeants sous-investissent dans la cybersécurité », Harvard Rapport d'activité). Il y a certainement des considérations de coût intimidantes. Les dépenses mondiales en matière de cybersécurité devraient dépasser 1 000 milliards de dollars entre 2017 et 2021, de nombreuses entreprises n'étant pas en mesure de suivre le rythme. (Steve Morgan, « Perspectives des dépenses en matière de cybersécurité :1 000 milliards de dollars de 2017 à 2021 », CSO ).

Il y a aussi de l'espoir. Solutions blockchain, se fédérant pour mutualiser les efforts de cybersécurité, capteurs intelligents (Marianne Mannschreck, "How smart sensor and the IoT will evolution supply chains,"ITProPortal , formation continue… autant de pistes possibles pour un avenir meilleur, dans lequel (on l'espère) il y aura moins de raisons d'avoir peur.

L'auteur de ce blog est Katherine Barrios, directrice du marketing chez Xeneta