Les chaînes d'approvisionnement américaines peuvent-elles être sauvées des cyberattaques ?

En février, le président Joe Biden a signé le décret 14017, appelant à un examen complet des chaînes d'approvisionnement critiques des États-Unis. L'action était en réponse aux pénuries de fournitures médicales telles que les équipements de protection individuelle (EPI) pour les travailleurs de la santé de première ligne au plus fort de la pandémie de COVID-19. Parmi les autres besoins identifiés par la commande figuraient les puces semi-conductrices pour l'industrie automobile et d'autres applications de haute technologie.

Ces problèmes entravent la capacité des Américains à obtenir des produits essentiels et créent une instabilité pour les travailleurs des industries touchées. L'objectif du nouvel ordre, selon la Maison Blanche, est de résoudre de manière proactive ces problèmes avant qu'ils ne se reproduisent.

"Bien que nous ne puissions pas prédire quelle crise nous frappera, nous devrions avoir la capacité de réagir rapidement face aux défis", a déclaré la Maison Blanche. « Les États-Unis doivent veiller à ce que les pénuries de production, les perturbations commerciales, les catastrophes naturelles et les actions potentielles de concurrents et d'adversaires étrangers ne laissent plus jamais les États-Unis vulnérables. »

La campagne du président a clairement montré que son administration s'est engagée à traiter de manière globale les risques liés à la chaîne d'approvisionnement. Mais l'initiative réussira-t-elle ?

Du point de vue de la sécurité, il y a un certain nombre de questions que l'Administration devrait considérer. Ne pas le faire entraînera une duplication du temps et des efforts, gaspillant des ressources tout en ne parvenant pas à atténuer les cyber-risques qui pourraient entraîner une autre attaque de la chaîne d'approvisionnement.

La première étape pour garantir la sécurité des chaînes d'approvisionnement américaines consiste à identifier leurs vulnérabilités et leurs risques. Le décret de Biden se concentre sur six secteurs :la base industrielle de la défense, la santé publique, les technologies de l'information et des communications, l'électricité et l'énergie, les transports et l'agriculture.

La dépendance des chaînes d'approvisionnement vis-à-vis des produits et services numériques a créé de graves vulnérabilités, faisant de la cybersécurité un élément essentiel de l'examen. La crainte qu'un acteur étatique puisse décider de bloquer la chaîne d'approvisionnement via la cybercriminalité est réelle. L'article 4.4 du décret indique clairement que la gestion des cyber-risques est une préoccupation et un domaine d'intérêt clés. Dans un délai d'un an, des rapports doivent être soumis couvrant l'état actuel de la dépendance des chaînes d'approvisionnement vis-à-vis des pays concurrents. La manière dont le gouvernement engage la communauté de la sécurité de l'information à cette fin fera ou détruira l'initiative dans tous les secteurs.

Garantir des résultats en un an

L'entreprise couvre beaucoup de territoire pour une période d'un an. Il est essentiel que la communauté de la sécurité de l'information et de la technologie, tirant les leçons de l'année écoulée, fournisse des commentaires aux parties qui pilotent l'initiative. Les efforts de groupes industriels tels que les centres de partage et d'analyse de l'information (ISAC) et le Conseil de coordination du secteur des TI (ITSCC) seront essentiels au succès. En outre, il existe une montagne de données et d'analyses provenant des quatre grandes sociétés de conseil sur lesquelles les risques doivent être priorisés lorsqu'ils traitent avec des tiers.

Le département américain de la Défense devrait jouer un rôle clé en aidant l'initiative à se déployer de manière transparente. Un effort comparable supervisé par le DOD est la certification du modèle de maturité de la cybersécurité (CMMC), exigeant des fournisseurs de matériaux sous-traités par le gouvernement qu'ils respectent des normes spécifiques. Un conseil clé, basé sur la réaction du public et du privé à la CMMC jusqu'à présent, est d'éviter autant que possible de mélanger les processus d'attribution et d'examen des contrats. Les leaders de l'industrie du secteur et les agences gouvernementales devraient travailler ensemble pour décider d'une norme simple mais efficace pour le cyber à travers les différentes chaînes d'approvisionnement simplement.

L'importance de la normalisation

Créer les bons partenariats et obtenir l'avis d'experts en sécurité de l'information est une chose, mais garantir une maturité accrue en matière de cybersécurité dans les chaînes d'approvisionnement américaines en est une autre. La communication est le seul élément qui peut faire ou défaire de nouvelles exigences lorsqu'il est déployé dans un écosystème aussi vaste. Il est guidé par la mesure, avec des résultats standardisés entre les groupes, quel que soit leur niveau de maturité en matière de cybersécurité. Des normes telles que la sous-catégorie de gestion des risques de la chaîne d'approvisionnement du NIST CSF ou le CMMC mentionné précédemment sont d'excellents outils pour clarifier les exigences et les mettre en œuvre efficacement dans les chaînes d'approvisionnement. Les méthodologies de cyber-évaluation du NIST CSF sont particulièrement utiles pour fournir un contexte aux fournisseurs ayant peu de connaissances en sécurité de l'information.

En matière de mesure, il est impossible d'éliminer tous les risques potentiels des chaînes d'approvisionnement américaines, compte tenu de la complexité des écosystèmes mondiaux des chaînes d'approvisionnement. Il est néanmoins utile d'identifier des scénarios qui examinent divers points de défaillance potentiels. Tirer parti des méthodologies existantes de quantification des risques de manière créative est essentiel pour parvenir à une véritable résilience. Il est essentiel que les entreprises comprennent le risque de la chaîne d'approvisionnement comme un moyen de parvenir à une bonne gouvernance, en s'appuyant sur les contributions des équipes de sécurité, le partage de données et d'informations et les avancées des logiciels de gestion des risques.

On ne peut qu'espérer que l'initiative de chaîne d'approvisionnement de Biden tirera parti des données existantes des événements passés et des analyses prédictives de l'avenir. L'ensemble de la chaîne d'approvisionnement peut-il être comparé et toutes les vulnérabilités identifiées en une seule année ? Et pouvons-nous atténuer le grave cyber-risque dans les chaînes d'approvisionnement américaines ? Cela reste à voir.

Padraic O'Reilly est co-fondateur et chef de produit de CyberSaint.