
Réduire les risques liés à la sécurité de la chaîne logistique en limitant le nombre des fournisseurs
Les administrateurs informatiques doivent depuis longtemps trouver le bon équilibre entre deux stratégies. D'une part, l'efficacité et la simplicité de la concentration de la sécurité et d'autres fonctions auprès d'un seul fournisseur sont convaincantes.
De l’autre, le fait de bâtir une infrastructure à partir de solutions ponctuelles de pointe pour chaque fonction de sécurité informatique offre une résilience et une flexibilité. Faire appel à plusieurs fournisseurs évite de baser l’ensemble de l’infrastructure de sécurité sur un seul point qui peut s’avérer défaillant.
Le choix que vous ferez pour votre entreprise dépendra de plusieurs facteurs qui peuvent chacun évoluer.
Un changement important qui mérite d’être signalé est l’augmentation des attaques visant la chaîne logistique logicielle. Cette stratégie d’attaque consiste à compromettre des systèmes et des réseaux situés très haut dans la chaîne d’approvisionnement des fournisseurs et à les utiliser pour diffuser largement la faille et lancer des attaques contre des entreprises situées en aval de la chaîne comme la vôtre.
La violation massive de données d’Illuminate en janvier 2022 en est un bon exemple. Celle-ci a eu pour effet de divulguer les données des districts scolaires du pays qui utilisaient le service compromis. Pour en savoir plus sur cette attaque et sur d’autres attaques de la chaîne d’approvisionnement ainsi que sur les stratégies techniques visant à minimiser les risques grâce à une sécurité robuste, lisez cet article de blog publié en juillet 2022.
Qui dit grandes surfaces d’attaque dit complexité concernant la gestion des risques
Les chaînes logistiques logicielles peuvent être très complexes. Imaginons que vous utilisiez une solution ERP SaaS. Le fournisseur de cette solution a peut-être externalisé différentes parties de son développement de produits à plusieurs sous-traitants.
Chacun de ces sous-traitants a ses équipes de développement qui utilisent une grande partie du code fonctionnel existant et font appel à des bibliothèques ou à des utilitaires externes pour assembler leur code. La plupart de ces outils sont appelés ou téléchargés uniquement lorsque l’application est exécutée ce qui fait que les changements malveillants sont difficiles à détecter. Et chacun de ces maillons de la chaîne d’approvisionnement – des dizaines ou des centaines – représentent un point potentiel de compromission.
Les stratégies pour minimiser les risques
Les risques croissants liés à la chaîne d’approvisionnement plaident en faveur d’une plus grande concentration des fonctions et des capacités entre un nombre réduit de fournisseurs. Réduire le nombre de fournisseurs de logiciels peut considérablement réduire la surface d’attaque de votre chaîne logistique.
Il est également important d’optimiser votre sécurité en intégrant la sécurité avancée des e-mails, la protection des boîtes de réception, l’accès Zero Trust et d’autres fonctionnalités avancées. Dans le contexte complexe des menaces d’aujourd’hui, une infrastructure de sécurité basée sur une plateforme provenant d’un fournisseur unique peut fournir une protection plus robuste et complète grâce à des capacités intégrées, au partage de renseignements sur les menaces à l’échelle du système et à une visibilité et un contrôle provenant d’un seul fournisseur.
Barracuda est un leader pour les systèmes de sécurité complets basés sur une plateforme cloud :
- Barracuda Email Protection protège votre déploiement Microsoft 365 avec une sécurité avancée, une réponse aux incidents, des formations de sensibilisation et bien plus encore
- Barracuda Cloud Application Protection est notre package Web Application et API Protection (WAAP) construit autour du WAF-as-a-Service robuste, éprouvé et facile à utiliser de Barracuda
- Barracuda Network Protection combine des fonctionnalités SD-WAN, un accès Zero Trust et d’autres fonctionnalités pour vous aider à créer une architecture SSE (Secure Service Edge) complète.
Gérer les risques en amont de la chaîne
En plus des solutions techniques, vous devez améliorer vos pratiques d’approvisionnement pour vous assurer que des éléments de sécurité sont intégrés à chaque contrat et accord de partenariat. Cela signifie que vous devez développer un système pour évaluer la fiabilité et la sécurité des partenaires et des fournisseurs potentiels.
La publication du National Institute of Standards and Technology (NIST) américain intitulée « Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations » reprend les meilleures pratiques et fournit des recommandations spécifiques et concrètes. Comme le dit Gartner en annonçant la publication de son rapport « Top Trends in Cybersecurity 2022 » :
« Les risques liés à la chaîne logistique numérique exigent de nouvelles approches d'atténuation qui impliquent une segmentation et une notation plus délibérées des fournisseurs/partenaires et fondées sur les risques, des demandes de preuves des contrôles de sécurité et des bonnes pratiques sécurisées, un nouveau mode de réflexion fondé sur la résilience et des initiatives pour devancer les réglementations à venir. »
Enfin, il est essentiel d’intégrer la sécurité à tous les niveaux du développement des applications, même si cela implique de faire des compromis sur la vitesse du DevOps.
Parce que les menaces qui pèsent sur la chaîne logistique logicielle sont diffuses et que la surface d’attaque est vaste et complexe, la solution miracle n’existe pas. Mais en limitant le nombre des fournisseurs, en implantant une solution de sécurité complète basée sur une seule plateforme et en adoptant des processus métier qui intègrent la sécurité, vous pouvez minimiser les risques.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter