Dans un article initialement publié dans Supply Management, Ben Ludford, collaborateur chez Efficio, mentionne ses six principaux conseils à l'intention des directeurs achats pour éviter les cyberattaques visant leurs chaînes d'approvisionnement. 

Le National Cyber Security Centre (NCSC) et la National Crime Agency (NCA) font état d'une recrudescence des attaques en ligne perpétrées contre des entreprises britanniques ciblant les vulnérabilités de leur Supply Chain.    

Dans leur rapport commun intitulé Cyber Threat to UK Business Industry 2017-2018, le NCSC et la NCA affirment que les compromissions des chaînes d'approvisionnement de prestataires de services et de logiciels légitimes, tels que MeDoc ou CCleaner, offrent aux cybercriminels des tremplins potentiels dans les réseaux de plusieurs milliers de clients.

Le rapport explique que les criminels « profitent de plus en plus des passerelles fournies par les accès privilégiés et les relations client/fournisseur », et que « les attaquants visent la partie la plus vulnérable de la chaîne d'approvisionnement pour atteindre la victime de leur choix ».

« Il est clair que même si une organisation dispose d'une excellente cybersécurité, il n'y a aucune garantie que les mêmes normes soient appliquées aux sous-traitants et aux fournisseurs tiers de la chaîne d'approvisionnement », mentionne également ce rapport.

Les chaînes d'approvisionnement comptabilisent environ 80 % de toutes les cyberattaques, selon l'institut SANS.

Ben Ludford, consultant au sein du cabinet de conseil en Achat international Efficio, explique à SM que par le passé, les pirates informatiques se concentraient sur des entreprises ayant beaucoup de données et propriété intellectuelle, mais qu'avec l'essor des rançongiciels, chaque ordinateur représente désormais une cible potentielle.

D'après lui, certaines affaires récentes très médiatisées, dont celle du virus WannaCry responsable de l'infection de 230 000 ordinateurs à travers le monde, soulignent l'importance d'une prise de mesures appropriées par les responsables des achats en vue de protéger les entreprises et les chaînes d'approvisionnement. 

Il énumère six étapes clés que les directeurs des achats peuvent suivre pour prévenir les cyberattaques visant leurs chaînes d'approvisionnement. 

1.Faites une évaluation des cyber-risques de votre chaîne d'approvisionnement

« Pensez à l'impensable. Que se passerait-il si tous les systèmes informatiques et canaux de communication de vos fournisseurs cessaient de fonctionner ? Que se passerait-il si le fournisseur qui gère les données clients subissait une fuite de données ? Poser les bonnes questions vous aidera à mieux comprendre les risques potentiels et l'impact que ces derniers pourraient avoir sur votre organisation. En fonction de cette évaluation, vous pourrez identifier les actions prioritaires. »

2. Atténuez l'impact d'une attaque réussie.

« Partez du principe qu'une cyberattaque réussie est inévitable. Cette façon de penser recentre votre attention sur le développement de plans et de pratiques qui seront à même de minimiser les dommages en cas d'incident. »

3. Intégrez la cybersécurité à l'évaluation des capacités de vos fournisseurs.

« Vos fournisseurs doivent être opérationnels, efficaces et sûrs. Posez des questions pour tester la sécurité des systèmes de vos fournisseurs ; vérifiez si le personnel est conscient des cyber-risques; et demandez les plans de résolution si un incident venait à se produire. Comme les cyber-risques continuent à se développer, il est très probable que cela devienne une pratique habituelle. »

4. Demandez aux fournisseurs de signer un contrat d'accréditation ou de tests externes.

« Ne partez pas du principe que votre interprétation de la notion de sécurité est identique à celle de vos fournisseurs. Il existe des accréditations comme le certificat Cyber Essentials émis par le gouvernement britannique par le biais du NCSC. Si vos fournisseurs expriment des réticences à l'idée d'être testés par des tiers, cela doit vous mettre la puce à l'oreille. »

5. Mentionnez les conséquences dans vos contrats.

« Conjointement aux conditions contractuelles concernant le stockage de données, vous pouvez ajouter des clauses relatives aux conséquences des pertes de données. Par exemple, vous pouvez vous donner le droit de visiter un fournisseur pour déterminer exactement ce qui a été volé, et comment le vol s'est produit. Cela vous permettra de maîtriser la situation et d'obtenir les informations nécessaires pour prendre les bonnes décisions. »

6. Formez le personnel des fournisseurs.

« L'erreur humaine est la principale cause des fuites de données. Vous pouvez aider vos fournisseurs et le personnel responsable du traitement de vos données en leur prodiguant des formations ou en les invitant à suivre eux-mêmes une formation. La formation aide le personnel à identifier les attaques potentielles et doit être constamment mise à jour pour leur permettre d’agir comme une première ligne de défense face à de tels incidents. »


Pour lire l'intégralité de cet article sur le site Web de Supply Management, cliquez ici.