Les chaînes d'approvisionnement présentent des risques de cybersécurité, selon un rapport

Les chaînes d'approvisionnement créent des risques de cybersécurité pour les entreprises, selon un rapport d'une société de services de sécurité.

BlueVoyant, basé à New York, a déclaré avoir interrogé plus de 1 500 DSI, CISO et CPO dans cinq pays. Ces cadres sont dans une variété de secteurs, y compris la fabrication.

Le rapport indique que 80% des personnes interrogées "ont subi une violation" via la chaîne d'approvisionnement. La plupart d'entre eux "avaient subi au moins deux manquements et un sur dix en avait subi plus de six."

Le cabinet de conseil a déclaré que 29% des personnes interrogées "ont déclaré qu'elles n'avaient aucun moyen de savoir si un risque est apparu chez un fournisseur tiers" jusqu'à ce qu'une violation se produise. "De telles organisations volent effectivement à l'aveuglette."

"Le problème des perturbations réelles des chaînes d'approvisionnement est réel", a déclaré Jim Penrose, COO de BlueVoyant, dans une interview.

Penrose a déclaré que les grands fabricants devaient aider leurs fournisseurs en matière de cybersécurité.

"Nous dépendons tous les uns des autres", a-t-il déclaré. "Beaucoup de petits gars n'ont peut-être pas de personnel de sécurité."

Selon BlueVoyant, seuls 23 % des personnes interrogées ont déclaré surveiller tous leurs fournisseurs, tandis que 19 % ont déclaré ne surveiller que les fournisseurs critiques.

"Cela laisse une longue traînée de fournisseurs entièrement non surveillés, avec un risque pouvant découler de l'un d'eux un jour donné", selon le rapport.

Penrose a déclaré que les entreprises, y compris les fabricants, procédaient à des examens à des intervalles spécifiques.

"La première étape est que vous devez changer de ce modèle d'évaluation périodique", a-t-il déclaré. "Cet examen périodique est tout simplement trop lent."

Le rapport BlueVoyant indique que seulement 2 % des répondants effectuent une surveillance en temps réel ou quotidienne, avec seulement « un sur dix » effectuant des évaluations chaque semaine. Selon le rapport, "un cinquième évalue le cyber-risque tous les trimestres". Tout cela est à comparer avec "le paysage des cybermenaces en évolution rapide".

Les entreprises doivent se demander :« Comment réduisons-nous les risques chaque jour ? » Penrose a déclaré dans l'interview.

"Les organisations ne sont pas toujours franches avec les fournisseurs lorsqu'elles découvrent un problème", indique le rapport. Parmi les personnes interrogées, 36 % "informent le fournisseur et espèrent qu'il résoudra le problème, tandis que le même pourcentage compte sur le fournisseur pour garantir une sécurité adéquate".

Une section du rapport portait spécifiquement sur la fabrication.

L'Internet industriel des objets (IIoT), où les machines de production communiquent entre elles, entraîne davantage de cyberrisques, a déclaré la société de conseil. Les "impacts potentiels des cyberattaques désactivant tout ou partie de l'IIoT, ou en récoltant des données, augmentent", indique le rapport.

Le cabinet de conseil a interrogé 250 cadres du secteur manufacturier. Parmi ces répondants, 57 % ont déclaré avoir subi une cyber-brèche dans leur chaîne d'approvisionnement au cours des 12 derniers mois. En outre, 82 % ont déclaré ne pas surveiller tous les fournisseurs pour les cyber-risques.