Guide en 10 points pour établir la cybersécurité de la chaîne d'approvisionnement

Alors que les chaînes d'approvisionnement mondiales deviennent de plus en plus numériques, les entreprises sont exposées à des risques provenant d'innombrables sources indirectes. Un système n'est aussi fort que son maillon le plus faible, et les pirates informatiques rechercheront méticuleusement pour découvrir un composant vulnérable.

Cette exploitation a un prix élevé. Selon le rapport d'IBM sur le coût de la sécurité des violations de données, 5,52 millions de dollars sont le coût total moyen d'une violation pour les entreprises de plus de 25 000 employés et 2,64 millions de dollars pour les organisations de moins de 500 employés. La plupart des entreprises paient aux pirates la rançon qu'ils demandent. Cet été, Colonial Pipeline Co. et JBS SA ont payé respectivement 4,4 et 11 millions de dollars à des pirates informatiques pour récupérer des données cryptées après des cyberattaques massives.

D'autres impacts incluent un service client perturbé, une confiance ébranlée et une perte d'avantage concurrentiel.

Les cybercriminels contournent les barrières et identifient les faiblesses pour exploiter les chaînes d'approvisionnement plus efficacement que jamais. Dans le cas de Colonial Pipeline, les pirates ont abusé d'un ancien profil de réseau privé virtuel (VPN) qui ne nécessitait qu'une authentification à un seul facteur.

Les attaques paralysent non seulement les entreprises, mais nuisent également aux clients. Quatre-vingt pour cent des violations impliquent des informations personnellement identifiables (PII). Les pirates utilisent des informations personnelles et des mots de passe pour accéder aux différents comptes d'un individu sur le Web. De plus, toute rupture dans une chaîne d'approvisionnement, qu'il s'agisse de votre entreprise ou de fournisseurs tiers ou tiers, a un impact sur la production de biens et de services tout en faisant également augmenter les prix.

Dans le CrowdStrike Security Report, une enquête menée auprès de plus de 1 000 participants, les deux tiers des décideurs informatiques et des professionnels de la cybersécurité ont révélé que leurs organisations avaient été victimes d'une attaque de la chaîne d'approvisionnement logicielle. Le même nombre a avoué que leur entreprise n'est pas suffisamment préparée pour se défendre contre une future violation. Les entreprises doivent être proactives et se concentrer sur le renforcement de la cyber-résilience pour empêcher l'exploitation.

Le National Institute of Standards and Technology (NIST), qui fait partie du département du Commerce des États-Unis, recommande les étapes suivantes pour protéger correctement les actifs informatiques.

Identification

Localisez les vecteurs de menace potentiels (routes que les attaques malveillantes peuvent emprunter pour contourner vos défenses et infecter votre réseau) en effectuant des évaluations internes des risques et de la vulnérabilité. Envisagez de faire appel à une entreprise pour effectuer une évaluation avancée.

Protection

Prenez les mesures nécessaires pour protéger votre organisation et prévenir les événements de menace :

• Réduction de l'exposition. En plus de la protection de base fournie par les pare-feu et les logiciels antivirus, il est essentiel d'établir des procédures d'accès privilégiées. Suivez le principe du moindre privilège :seuls les employés qui ont besoin d'accéder à des données sensibles sont autorisés à y accéder.

Des outils tels que l'analyse comportementale, la détection et la réponse des points de terminaison (EDR), l'intelligence artificielle (IA) et la veille sur les menaces peuvent renforcer les défenses. Les entreprises doivent adopter des pratiques de codage sécurisées et se référer aux dix principaux risques de sécurité des applications Web du projet Open Web Application Security (OWASP).

• Engagement et formation des employés. Les employés sont la dernière ligne de défense en matière de cybersécurité et l'un des vecteurs de menace les plus courants. Il est essentiel d'impliquer chaque employé; la suite exécutive n'est pas exempte. Établir une culture de suspicion saine parmi les employés. Cette approche peut sembler trop paranoïaque, mais les enjeux peuvent être importants.

Instituez une formation de sensibilisation et des campagnes de phishing internes pour exposer les employés aux dernières techniques de spam et d'ingénierie sociale. Tout employé qui tombe dans le piège d'une campagne de phishing devrait être immédiatement tenu de suivre une formation. Instaurer une culture de mot de passe forte dans laquelle les employés ont des mots de passe variés et sécurisés. Assurez-vous qu'ils comprennent que si un mot de passe est piraté à un endroit, il est possible et relativement simple pour les pirates de l'utiliser sur d'autres comptes associés au même e-mail.

Il existe d'innombrables ressources de cybersécurité utiles (et gratuites) disponibles pour compléter l'apprentissage des employés et tenir les employés au courant des dernières tendances du secteur, telles que les modules de formation virtuels fournis par le département américain de l'Intérieur. Sécurité.

• Assurance. Assurez-vous d'avoir une assurance adéquate en cas d'attaque. Certains assureurs incluent des protections contre les ransomwares. Renseignez-vous sur les éléments non couverts par une cyberattaque.
• Sécurité physique . Protégez le personnel, le matériel, les logiciels, les réseaux et les données contre les intrusions physiques et les actions. Envisagez des solutions telles que des caméras de surveillance, des agents de sécurité, des systèmes de sécurité, des barrières, des serrures, des cartes d'accès, des alarmes incendie, des gicleurs et d'autres systèmes conçus pour protéger les employés et les biens.

Attention au ferroutage. Tenir la porte ouverte à une personne entrant dans le bureau les mains pleines peut sembler poli, mais cela constitue une menace pour la sécurité. Assurez-vous que toute personne qui pénètre dans les locaux de l'entreprise est du personnel autorisé.

• Relations commerciales sélectives . Les cyberattaques via les réseaux de fournisseurs sont de plus en plus courantes. Selon l'étude 2020 Cyber ​​Resilient Organization Study du Ponemon Institute, 56% des organisations déclarent avoir subi une faille de cybersécurité causée par un fournisseur tiers. Pour déterminer un niveau de risque acceptable, soyez sélectif lorsque vous choisissez des sous-traitants ou des partenaires pour travailler avec votre entreprise.
• Rapport d'incident . Inculquer une bonne culture et une bonne éducation pour signaler les incidents. Les professionnels de l'informatique sont plus en mesure de réduire les dommages potentiels s'ils en ont connaissance plus tôt.

Détecter

Il a été dit qu'une maison sans détecteurs de fumée est la même chose qu'un réseau sans surveillance. La surveillance continue des événements de sécurité doit inclure les environnements physiques, les réseaux, les fournisseurs de services et l'activité des utilisateurs. Les analyses de vulnérabilité sont un excellent outil et doivent être effectuées régulièrement sur les systèmes contenant des informations sensibles.

Réponse et récupération

Une corrélation est évidente entre le temps de réponse et le coût d'une attaque. Les industries qui mettent le plus de temps à détecter, réagir, répondre et corriger encourent les coûts les plus élevés. Une réponse rapide peut aider à atténuer l'impact. Néanmoins, cela ne peut pas éliminer la possibilité, c'est pourquoi l'accent est toujours mis sur la prévention.

Un plan de reprise après sinistre est essentiel pour restaurer l'accès aux données et l'infrastructure informatique après un sinistre. La récupération dépend de l'étendue des dommages.

Élaborez un plan de réponse et une feuille de route de remédiation pour tous les scénarios d'incidents potentiels sous la forme d'un plan de continuité d'activité. Incluez des tactiques qui permettront à l'entreprise de rester opérationnelle en cas de catastrophe. Déterminez la criticité des fournisseurs et un plan d'action si des fournisseurs clés sont attaqués. Faites appel à des fournisseurs de sauvegarde et à des sauvegardes pour vos sauvegardes au cas où vous auriez besoin de passer à un autre fournisseur pour répondre aux besoins des clients.

Dans le cadre d'un plan de reprise après sinistre efficace, il est recommandé de simuler une faille de cybersécurité au minimum une fois par an. Grâce à ces exercices, le personnel concerné comprend son rôle et les procédures à suivre.

La cybersécurité sera un obstacle majeur pour les entreprises de toutes tailles à mesure que les chaînes d'approvisionnement deviennent plus complexes. Identifiez les maillons faibles de la chaîne d'approvisionnement pour garantir que les vulnérabilités sont minimisées et pour prévenir les événements de menace. Le renforcement de la cyber-résilience préparera votre entreprise au pire des scénarios qui serait autrement plus coûteux et dommageable.

Marc Lewis est responsable de la sécurité de l'information chez Visible Supply Chain Management.