Barracuda full logo

Sécurité des chaînes d'approvisionnement : la menace s’accroît pour les prestataires d’infogérance

Thèmes:
22 nov. 2024
|
Kevin Williams

Les attaques visant les chaînes d’approvisionnement continuent d’affecter les entreprises, aussi bien dans le secteur de la cybersécurité que généralement. Selon les prédictions de Gartner, 45 % des entreprises du monde auront subi des attaques sur leurs chaînes logistiques logicielles d’ici 2025. Ce chiffre représente trois fois plus par rapport à 2021.

De plus, les attaques contre les chaînes logistiques logicielles coûtent cher aux entreprises : le coût annuel mondial de ces attaques pourrait atteindre 138 milliards de dollars en 2031, selon les prévisions de Cybersecurity Ventures. Même si une organisation peut se permettre un dispositif de sécurité sans faille, il suffit d’un point faible dans le système d’un vendeur ou d’un fournisseur pour compromettre cette défense. Les prestataires d’infogérance, aussi appelés fournisseurs de services gérés (les MSP), sont souvent pris entre deux feux, car ils doivent répondre aux besoins de sécurité de leurs clients sans perdre de vue l’efficacité et les performances du travail.

Dans ces conditions, comment faire pencher la balance en faveur de tout le monde ? Les prestataires d’infogérance peuvent prendre certaines mesures pour aller dans ce sens.

Une menace en constante évolution

La menace contre les chaînes d’approvisionnement est particulièrement aiguë, car la présence d’un seul point faible dans une chaîne peut entraîner des répercussions. « Le paysage des menaces est en train d’évoluer rapidement », déclare Edward Smyshliaiev, directeur technique général d’Erbis. « Le risque affecte les entreprises dans leur ensemble. En 2025 et au-delà, l'un des problèmes les plus pressants auxquels nous devrons faire face sera d’assurer la sécurité de nos données. »

Les données équivalent à une forme de monnaie pour les pirates informatiques. Elles sont recueillies dans de plus en plus d’endroits différents, et ces lieux constituent autant de cibles pour les criminels. « Alors que les réseaux des chaînes d'approvisionnement s'étendent, le nombre de points faibles dans ces réseaux se multiplie », explique M. Smyshliaiev. Il ajoute que « si des données critiques pour une entreprise tombent entre de mauvaises mains, les conséquences peuvent être graves : les finances, les opérations et la réputation de l’organisation concernée peuvent être affectées. Ce problème va demeurer une préoccupation de premier plan pour les prestataires d’infogérance ».

M. Smyshliaiev précise que pour améliorer la situation, les entreprises doivent privilégier une stratégie de cybersécurité multicouche. Cette stratégie doit comprendre des protocoles rigoureux de protection des données, une surveillance continue des infrastructures et un système de renseignement sur les menaces. « Pour les entreprises impliquées dans les chaînes logistiques, le partenariat avec des experts en cybersécurité constitue un axe stratégique clé », explique-t-il. « Ces experts disposent de logiciels spécialisés et connaissent les informations les plus récentes sur les menaces. Leur intervention permet donc aux entreprises de prendre les initiatives qui s’imposent pour cerner et atténuer leurs risques. »

Ces professionnels de la cybersécurité peuvent également mettre en œuvre des mesures qui sont adaptées aux besoins des chaînes d'approvisionnement. Par exemple, ils peuvent configurer des contrôles d'accès perfectionnés, mettre en place une surveillance de la sécurité en temps réel et recourir à des processus de chiffrement. M. Smyshliaiev souligne qu’« une telle démarche proactive permet de protéger les données, mais ce n’est pas tout : elle renforce l'intégralité de la chaîne d'approvisionnement d’une entreprise, car elle aboutit à une réduction des risques dans des systèmes interconnectés ».

L’établissement de normes

Selon Joshua Copeland, responsable de la sécurité gérée chez Quadrant Security, les prestataires d’infogérance disposent de certains outils utiles. « Pour les responsables de la sécurité des informations et les prestataires d’infogérance, il existe une ressource essentielle mais insuffisamment utilisée », explique-t-il. « Il s’agit de l’usage d’un ensemble de normes allié à des contrôles de conformité effectués par un service externe. »

M. Copeland insiste sur le fait que pour ces contrôles, les contrats entre partenaires doivent clairement spécifier les exigences de certification à satisfaire. Par exemple, il est possible de se baser sur les normes SOC 2 de type 2, PCI DSS ou ISO 27001, ou sur d'autres normes sectorielles pertinentes. De plus, M. Copeland préfère que ces contrats prévoient des pénalités en cas de non-conformité et contiennent une clause de résiliation en cas de non-respect des normes agréées. Il précise également que les contrôles de conformité ne constituent pas une garantie absolue de sécurité, mais qu'ils peuvent grandement contribuer au renforcement des systèmes de défense : « Le fait d’être en conformité avec des normes ne signifie pas que tous les risques liés aux chaînes logistiques ont disparu ; par contre, la présence de normes établit un cadre et un modèle généralisés pour la gestion des risques. Grâce à ce langage commun, les organisations sont en mesure de tenir des propos clairs en rapport à leurs risques et d’élaborer des stratégies d'atténuation réalistes ».

Conseils pour les MSP

« À l’heure actuelle, la sécurité des chaînes d'approvisionnement devient de plus en plus cruciale pour les responsables de la sécurité des informations et pour les prestataires d’infogérance. Des vulnérabilités sont présentes dans les systèmes utilisés par les vendeurs et prestataires tiers des entreprises. Ces faiblesses peuvent susciter des risques importants pour les entreprises en bout de chaîne », déclare Robert Khachatryan, PDG et fondateur de Freight Right Global Logistics.

Il recommande plusieurs mesures pour atténuer les risques liés aux chaînes d’approvisionnement :

  • La mise en place de frameworks complets pour la gestion des risques – Il s’agit d’adopter les principes C-SCRM pour gérer systématiquement les risques encourus tout au long des chaînes d'approvisionnement. « Le cadre C-SCRM permet d'élaborer des directives d’action claires pour remédier aux vulnérabilités à chaque étape des processus. Il met l’accent sur la détection des maillons faibles avant qu'ils ne deviennent des menaces », explique M. Khachatryan. Il ajoute que l’Institut national des normes et de la technologie (le NIST) fournit des conseils détaillés sur les pratiques efficaces à baser sur le cadre C-SCRM.
  • La réalisation d’évaluations exhaustives des fournisseurs – Un processus d'évaluation complet permet à une entreprise de s’assurer que ses fournisseurs respectent les normes de sécurité essentielles, comme l’a souligné l’AESRI (Agence de l'Union européenne pour la cybersécurité). Un tel processus est également utile pour déceler et combler les éventuelles lacunes dans les dispositifs de sécurité. « En évaluant régulièrement les mesures de cybersécurité de ses fournisseurs et partenaires, une entreprise est mieux à même de décerner les vulnérabilités potentielles dans les systèmes », explique M. Khachatryan. Il ajoute : « Il faut renforcer la visibilité et la surveillance. Les outils de surveillance en continu apportent une visibilité en temps réel sur les activités des chaînes d’approvisionnement, ce qui améliore la rapidité des détections et des réponses en cas de menace. »
  • L’application de contrôles d'accès stricts. – M. Khachatryan note que lorsque les accès des utilisateurs sont restreints aux seuls systèmes et données nécessaires, le nombre de points d'entrée pour des pirates potentiels est minimisé. « L’Agence de cybersécurité et de sécurité des infrastructures (la CISA) conseille aux professionnels de fixer des critères précis en matière de sécurité des réseaux, en veillant à ce que chaque partie prenante dans une chaîne d'approvisionnement ne dispose que d'un accès limité aux systèmes », explique-t-il.

Quelques mesures supplémentaires à envisager par les prestataires de services d’infogérance :

  • Penser à mettre régulièrement à jour les systèmes et à y appliquer les correctifs pertinents.
  • Élaboration de plans de réponse aux incidents
  • Encourager la collaboration, ainsi que la communication d'informations.

Les attaques contre les chaînes d'approvisionnement sont en train de devenir de plus en plus sophistiquées et efficaces. Dans ces conditions, il est clair qu'aucune organisation n'en est totalement à l’abri. Les prestataires d’infogérance peuvent mettre en œuvre des stratégies de cybersécurité proactives et robustes. Ils ont donc un rôle essentiel à jouer dans la défense contre les menaces pesant sur les chaînes logistiques. De plus, ils peuvent veiller à la conformité des systèmes avec les normes sectorielles pertinentes et ils évaluent régulièrement la posture de sécurité de leurs partenaires fournisseurs.

Remarque : cet article a été initialement publié sur SmarterMSP.com.

 

Kevin Williams

Kevin Williams est journaliste basé dans l'Ohio. Kevin a écrit pour diverses publications, notamment le Washington Post, le New York Times, USA Today, le Wall Street Journal, National Geographic et d'autres. Il a d'abord écrit sur le monde en ligne à ses débuts pour le magazine "Online Access", aujourd'hui disparu, au milieu des années 90.  Connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.