Protéger la chaîne d'approvisionnement mondiale avec des données sans frontières

Les attaques de cybersécurité de la chaîne d'approvisionnement ne sont pas nouvelles, mais elles sont loin d'être maîtrisées.

Une étude récente de Resilience 360 ​​a révélé qu'il y avait près de 300 incidents de cybersécurité affectant les entités de la chaîne d'approvisionnement en 2019. Avec l'entreprise moyenne partageant des données avec plus de 500 tiers, il n'est pas étonnant que le Ponemon Institute rapporte qu'environ 61% des entreprises américaines ont subi une violation de données au sein de leurs chaînes d'approvisionnement.

Alors que les tensions géopolitiques ont entraîné un large éventail de ces attaques, 2020 a cédé la place à une parfaite tempête d'opportunités, car COVID-19 a forcé une grande partie de la main-d'œuvre mondiale à passer au travail à distance. Les organisations, des gouvernements aux entreprises, doivent assumer la responsabilité de protéger les données qu'elles traitent et partagent. La collaboration étant si cruciale pour soutenir l'innovation et la productivité, cela doit être fait sans étouffer le flux d'idées et d'informations, ni rendre les systèmes et processus impraticables.

Alors que COVID-19 a frappé les États-Unis avec force au premier trimestre de cette année, les organisations ont réagi en déplaçant les employés vers le travail à distance presque du jour au lendemain. En juin 2020, un incroyable 42% des travailleurs américains menaient des affaires à distance depuis leur domicile et leurs bureaux de migration. Avec une main-d'œuvre très mobile et des écosystèmes de fournisseurs de plus en plus complexes et dispersés à l'échelle mondiale, la menace pour la propriété intellectuelle et les informations classifiées ou sensibles s'intensifie.

Les équipes de projet utilisent quotidiennement des plates-formes mobiles et cloud pour partager et stocker des données, les exposant potentiellement à l'accès d'utilisateurs non autorisés. Il est également transporté physiquement à l'extérieur de l'organisation sur des smartphones, des disques durs amovibles et des périphériques de stockage USB qui sont sujets au vol et à la perte. Dans ce contexte, les données traversent en permanence les frontières des entreprises et des nations. Il n'y a plus de périmètre clair à défendre.

Alors que les piratages délibérés sont désormais monnaie courante, l'une des plus grandes menaces pour la sécurité reste le vol, la perte et l'utilisation abusive des données en déplacement. Une étude d'Apricorn en 2018 a noté que 29% des organisations interrogées avaient subi une violation de données en conséquence directe du travail mobile. La même recherche menée en 2020 montre que plus de la moitié des personnes interrogées pensent toujours que les travailleurs à distance exposeront leur organisation au risque d'une violation de données.

De plus, des recherches récentes de Digital Guardian montrent une augmentation de 123 % du volume de données téléchargées sur un support USB par les employés depuis le coup de COVID-19, suggérant que les équipes utilisent un stockage amovible pour emporter chez elles de gros volumes de données. À moins que ces appareils ne soient cryptés, ce n'est qu'une question de temps avant que nous observions un pic de violations de données associées à la vulnérabilité des travailleurs à distance.

Une approche de la sécurité centrée sur les données et basée sur des politiques protégera les informations elles-mêmes, à l'intérieur et à l'extérieur des systèmes centraux d'une organisation, à la fois en déplacement et au repos, tout en permettant des communications sûres. La réponse réside dans une approche à plusieurs niveaux combinant les personnes, les processus et la technologie.

Commencez de l'intérieur. La sécurité ne concerne pas seulement les solutions technologiques. Les programmes de formation et d'engagement en matière de sensibilisation à la sécurité doivent s'étendre aux équipes des partenaires et des sous-traitants. Votre objectif ici est de sensibiliser tous les employés à la valeur et aux risques associés aux données, et à la fois de définir et de renforcer leur rôle dans leur protection.

De plus, mettez en place les meilleures pratiques de sécurité des données et gérez leur application. Vous pouvez donner un avantage à votre organisation en créant des pratiques et des politiques sur la façon d'interagir et de sécuriser les données. En décrivant et en appliquant les meilleures pratiques pour votre équipe et votre chaîne d'approvisionnement, vous contribuez à créer une culture de responsabilité.

Pensez aux données en termes de cycle de vie. Après avoir créé les meilleures pratiques pour travailler avec et sécuriser les données, les organisations doivent effectuer un audit complet, couvrant :

• Quels types de données sont conservées et dans quel but ?
• Qui a accès à ces données ?
• Où circulent les données, et
• Comment est-il actuellement contrôlé.

Cela permettra de repérer plus facilement les zones de non-conformité, d'identifier où les données peuvent être non protégées et d'identifier les technologies, les politiques et les processus qui peuvent minimiser l'exposition aux risques.

Appliquer la sécurité. Définissez une stratégie qui inclut la documentation et l'application de politiques qui contrôlent la façon dont les données sensibles sont traitées et utilisées, et qui sont étendues à tous les terminaux, y compris les partenaires et les sous-traitants. Le chiffrement doit être un élément clé de la stratégie. Si un support amovible se retrouve entre de mauvaises mains, les informations cryptées seront rendues inintelligibles pour quiconque tentera d'y accéder.

Surtout dans la « nouvelle normalité » du travail à distance, il est impératif que les services informatiques recherchent, identifient et mandatent un périphérique de stockage mobile crypté conforme aux normes de l'entreprise, et imposent son utilisation via des politiques de liste blanche. Le périphérique doit être préconfigurable pour se conformer aux exigences de sécurité. , comme la force du mot de passe.

Et, parce que nous parlons de la chaîne d'approvisionnement, les exigences doivent être écrites dans des contrats tiers - définissant, par exemple, les outils et les technologies qui doivent être utilisés, et quand ils doivent être mis à jour. Les organisations peuvent adopter une approche encore plus proactive et définir ces exigences dans le processus de demande de propositions (RFP), afin que les attentes soient définies avant qu'un tiers ne soit choisi.

Mesurer, surveiller et rapporter. Pour les équipes informatiques et de sécurité, le dicton « Vous ne pouvez pas gérer ce que vous ne pouvez pas mesurer » est particulièrement approprié. L'audit continu de la conformité, à la fois au sein de l'organisation et dans l'ensemble de la chaîne d'approvisionnement, offre une visibilité rapide des violations des politiques, afin qu'elles puissent être traitées par le biais de formations ou de procédures disciplinaires. La surveillance fournira également une piste d'audit détaillée qui permet à l'organisation de démontrer sa position de conformité, ainsi qu'un enregistrement précis de tout comportement d'utilisateur non conforme.

Une combinaison de mesures techniques et organisationnelles peut aider à réduire l'exposition aux risques dans la chaîne d'approvisionnement, tout en permettant l'échange et la mobilité des informations en toute sécurité pendant que nous continuons à travailler à domicile. Les entreprises qui contrôlent leurs données de manière appropriée peuvent protéger la confidentialité, la sécurité nationale et leur propre réputation sans compromettre l'efficacité, l'agilité ou leur avantage concurrentiel.

La chaîne d'approvisionnement en constante expansion, associée à des changements spectaculaires dans la façon dont nous travaillons et où nous travaillons, signifie que les organisations doivent continuellement se concentrer sur la sécurité des tiers. En créant un plan stratégique de sécurité des données qui effectue des audits et des mesures en cours de route, en mettant l'accent sur la sensibilisation et la formation des employés, nous pouvons sécuriser nos chaînes d'approvisionnement malgré l'élimination des frontières physiques.

Jon Fielding est directeur général de Apricorn , un fabricant de périphériques de stockage de données USB à cryptage matériel.