Les défis de sécurité sont-ils inhérents à la chaîne d’approvisionnement ?
De l’avis de John Pescatore, SANS Director of Emerging Security Trends, le plus gros problème réside dans le fait que « les décisions relatives à la chaîne d’approvisionnement sont prises sans impliquer l’équipe de sécurité, ou sans même penser à la sécurité. Les fournisseurs et les partenaires sont généralement évalués en fonction des risques financiers, mais pas en fonction des risques de cybersécurité liés à l’utilisation de leurs produits ou services, ou aux contacts en ligne avec eux ». 

Et ce n’est que lorsque les entreprises sont confrontées à une atteinte à leur sécurité qu’elles se rendent compte qu’elles ont des problèmes concernant la sécurité de leur chaîne d’approvisionnement.

« Nous constatons que les organisations utilisent de plus en plus des services tels que BitSight, Prevalent, Risk Recon et Security Scorecard pour évaluer leurs risques en matière de cybersécurité. Ces acteurs ne peuvent évaluer les risques que sur la base de paramètres visibles de l’extérieur, mais ils peuvent réagir rapidement lorsque le statut du risque change », estime l’expert. 

Et à ce dernier d’ajouter : « l’accès des fournisseurs tiers est devenu beaucoup plus sûr grâce à l’introduction de l’authentification multifactorielle pour tous les accès distants, ce qui complique les attaques de phishing ».

Pour autant, malgré une prise de conscience croissante, la sécurité n’est pas encore un facteur de sélection des partenaires dans la chaîne d’approvisionnement. « Les organisations doivent également apprendre à mieux reconnaître les risques que les connexions avec les fournisseurs sont susceptibles de faire peser sur leurs processus d’entreprise », rappelle John Pescatore.

A l’avenir, « les hackers utiliseront l’IA et les outils d’apprentissage automatique pour lancer des attaques plus ciblées. En revanche, des défenseurs compétents peuvent utiliser ces mêmes technologies pour détecter plus rapidement et plus précisément les éléments suspects ». 

Quelles mesures les organisations peuvent-elles donc prendre pour sécuriser leur chaîne d’approvisionnement et se préparer aux menaces futures ?

Pour l’expert, « le service des achats doit prendre en compte l’aspect sécurité dans toutes les décisions liées à la chaîne d’approvisionnement. Il convient de fournir les outils adéquats et d’acquérir les compétences requises pour procéder à des évaluations rapides de la sécurité sans causer d’interruptions ou de retards, et de surveiller les partenaires potentiellement à risque si l’entreprise ne peut s’en passer ».