Connect with us

Technologie

Gestion des cyberrisques grâce à des chaînes d’approvisionnement intégrées

Published

on


Les chaînes d’approvisionnement d’aujourd’hui pourraient être comparées à l’ancienne route de la soie sur la base de la longueur de la chaîne, des multiples points de contact et de la variété des produits. Mais là où la route de la soie est devenue l’élément vital des civilisations anciennes pour ces raisons, la complexité des chaînes d’approvisionnement modernes pourrait être leur chute même, mettant en péril la fonctionnalité et, par conséquent, la réputation des organisations.

Aujourd’hui, les logiciels d’exécution, les fournisseurs de services informatiques et l’externalisation des processus métier (BPO) ne sont que quelques exemples de chaînes d’approvisionnement qui reposent encore sur des systèmes informatiques interconnectés avec différents degrés d’accès à diverses parties du parc informatique pour traiter, partager et stocker des données.

La pandémie a également poussé les organisations à accélérer leurs plans numériques et à atteindre leur clientèle dans ce nouveau monde pour commercer et rester compétitives.

Cependant, le cyberrisque accru qui en résulte en fait une voie difficile à parcourir, entraînant une réglementation accrue, des perturbations, des amendes croissantes et les coûts élevés de résolution d’un problème à l’interne – dans un cas, 100 millions de dollars pour contenir et corriger la violation de données.

Le maillon faible de votre entreprise peut résider dans les fournisseurs et les partenaires

Des exemples récents bien informés dans les secteurs de la fabrication, des services financiers et des transports ont été gravement affectés par les risques de sécurité émanant de leurs chaînes d’approvisionnement, provoquant d’énormes perturbations matérielles. Il ne s’agit pas d’un secteur industriel particulier, mais d’un problème répandu auquel nous devons nous attaquer.

Une attaque de la chaîne d’approvisionnement se produit lorsque quelqu’un infiltre votre système par l’intermédiaire d’un partenaire ou d’un fournisseur externe ayant accès à votre réseau, à vos systèmes et, en fin de compte, à vos données.

Cela a radicalement changé la surface d’attaque de l’entreprise typique au cours des dernières années, avec plus de fournisseurs et de fournisseurs de services touchant des données sensibles que jamais auparavant, élargissant et brouillant les frontières de l’entreprise. Pour les organisations comptant des milliers de fournisseurs critiques, cela devient une tâche très difficile, quel que soit le secteur.

L’effet layer-cake

L’attaque contre SolarWinds a amené l’industrie à s’asseoir et à repenser l’approche de la gestion des risques non seulement dans son propre paysage informatique, mais aussi dans les fournisseurs et sous-traitants qui y sont connectés. Les organismes de réglementation tentent de régler ce problème avec une législation actualisée, mais avec la sensibilisation croissante du public et les nouveaux types d’attaques, c’est plus difficile que jamais.

Selon un rapport de l’ New York Times, les attaques SolarWinds ont pénétré beaucoup plus qu’une « dizaine » de réseaux gouvernementaux et d’entreprise, comme on le pensait initialement. Jusqu’à 250 organisations ont été touchées et les attaquants ont tiré parti de plusieurs couches de la chaîne d’approvisionnement.

Nous devons considérer l’ensemble du « système » de bout en bout et évaluer les risques qui peuvent affecter les opérations, les données et les clients afin de minimiser l’impact très réel, négatif et matériel qu’il peut avoir. Les limites de la gestion des risques liés à la sécurité de l’information sont fluides, dictées par les besoins de l’entreprise, y compris l’impact géographique. « Qui » se connecte à « quoi » ?

Un rapport récent, Risque lié aux données dans l’écosystème tiers, compilé par le Ponemon Institute et commandé par Opus, indique que 60% des violations de données émanent de l’intérieur de la chaîne d’approvisionnement, où les faiblesses de leur paysage de contrôle sous-tendent leurs propres opérations. Le temps de signalement des violations aux autorités réglementaires est plus court, ce qui entraîne un cyberpirat ayant un impact plus important sur l’érosion de la valorisation du marché, de la réputation de la marque et de la confiance des consommateurs.

Alors, que peut-on faire? Il y a quelques questions clés, décrites ci-dessous, que les dirigeants devraient poser à leurs organisations et à leurs fournisseurs sur la façon d’obtenir l’assurance de la pertinence des mesures de contrôle en place.

Mappage du système

Les questions clés sont les suivantes : Qui dispose d’une connectivité dans nos systèmes ? Leurs systèmes sont différents, alors comment pouvons-nous gérer cela? Quelle est leur politique de sécurité et est-elle respectée ? Il semble que leur réseau soit en panne, alors qu’est-ce que cela signifie pour nous? Quelle législation locale en matière de protection des données s’applique à eux ? Comprenons-nous nos obligations réglementaires envers nos clients ? Et comprenons-nous le flux de données entre nous et nos fournisseurs ?

Tout d’abord, vous devez comprendre quels processus les partenaires de la chaîne d’approvisionnement mènent en votre nom. Cela signifie comprendre les applications, les moyens d’accès, les données traitées (cartographie des flux de données – « connaître » vos données), les emplacements physiques (qui pourraient être soumis à différentes réglementations et législations locales); et sans oublier commercialement ce qu’ils sont obligés de faire pour gérer votre système.

Cela aidera pour clarifier la frontière se trouve et quoi vous devez évaluer et surveiller.

Analyser

Les questions clés sont les suivantes : Savons-nous ce qu’il faut rechercher? Où sont nos données ? Qui y a accès? Qui devrait y avoir accès? Comment y accèdent-ils? Et avons-nous des environnements/méthodes/moyens sécurisés pour partager des fichiers/données ?

Il est important d’évaluer les sources de menaces potentielles et les risques inhérents tout au long de la chaîne d’approvisionnement, en tirant parti des bonnes pratiques de l’industrie. Examinez attentivement les voies d’attaque qui pourraient être empruntées pour saper vos opérations. La chaîne d’approvisionnement/les organisations partenaires devraient être tenues de gérer le traitement de vos données conformément à toute norme de bonne pratique convenue.

Nous cherchons à déterminer le point de vue des personnes, des processus et de la technologie concernant le risque, et à comprendre l’importance relative de tout risque identifié. Des techniques telles que le wargaming d’entreprise peuvent aider à articuler ces risques dans un paysage informatique très complexe.

Remédiation

Les questions clés sont les suivantes : Comment collaborons-nous en toute sécurité ? Quelles solutions pragmatiques pouvons-nous envisager ? Comment pouvons-nous grandir dans cet environnement? Quelles technologies pouvons-nous exploiter? Comment pouvons-nous avoir une vue d’ensemble de nos limites organisationnelles ? Comment gérons-nous le traitement et le stockage de nos données dans des domaines interconnectés ? Comment pouvons-nous établir la confiance et la fidélité avec nos clients? Et comment faire mûrir notre résilience opérationnelle ?

Lancer des activités pour s’attaquer aux domaines mentant des niveaux de risque inacceptables. Il peut s’agir d’obligations commerciales entre le fournisseur et vous-même; développer une compréhension mutuelle de l’appétit pour le risque (valeurs, croyances, préoccupations, contrôles similaires à ceux que vous faites) en créant une approche commune de la gestion des risques; mettre à jour la politique et le processus (y compris le changement et la façon dont il est testé et introduit dans la production en direct); pour combler les lacunes techniques (portes dérobées dans les réseaux) dans l’écosystème qui pourraient fournir un moyen d’entrée à un attaquant.

Plus généralement, l’établissement de la bonne culture pour englober la nécessité de gérer les risques de la chaîne d’approvisionnement changera également l’état d’esprit qui vous permettra de passer de votre propre état de préparation à celui de vos tiers.

Surveillance continue

Les questions clés sont les suivantes : Comment pouvons-nous tirer parti de la technologie et accroître l’efficacité pour gérer les cyberrisques dans une chaîne d’approvisionnement vaste et complexe? Comment pouvons-nous utiliser cela pour démontrer notre capacité à gérer les risques aux organismes de réglementation et à nos clients? Et comment obtenir une vue en temps réel des risques dans l’ensemble de notre système ?

La dernière étape consiste à intégrer le concept de « surveillance continue ». Cela peut faire partie de vos processus plus larges de gouvernance d’entreprise et de conformité pour gérer les risques. Pour accroître l’efficacité dans ce domaine, nous cherchons maintenant à tirer parti de la technologie.

Selon Gartner : « Surveillance continue des contrôles [CCM] est un ensemble de technologies visant à réduire les pertes commerciales grâce à une surveillance continue et à réduire le coût des audits grâce à un audit continu des contrôles dans les applications financières et autres applications transactionnelles.

Les progrès de l’intelligence artificielle (IA) contribuent également à intégrer la prédiction et nous donnent la capacité de mieux rationaliser et de prendre les mesures appropriées concernant les risques. Les organisations peuvent désormais adopter cette technologie en tant que solution à l’échelle de l’entreprise pour surveiller les systèmes et les données clés afin de protéger les opérations commerciales, les revenus, la réputation et les bénéfices contre les cyberrisques et numériques 24 heures sur 24, 7 jours sur 7.

Il existe de nombreux outils disponibles qui vous permettent de surveiller au niveau des processus et du contrôle technique, y compris des politiques de surveillance via des collecteurs déployés à proximité de sources de données sur des machines spécifiques au sein de la succession de votre fournisseur qui fournissent des rapports en temps réel pour vous aider à identifier les risques potentiels pour vos opérations quotidiennes.

Pour conclure

Cet article a abordé des exemples bien connus mettant en évidence le risque d’amendes liées aux données, d’atteinte à la réputation et d’impact sur la valeur marchande, le coût de la mise en œuvre d’une approche de surveillance du contrôle continu étant un investissement relativement faible en comparaison.

Il est crucial que les fournisseurs de vos opérations adhèrent à cette vision étendue de la gestion des risques pour aider toutes les parties impliquées à protéger le client final et ses données. Cela peut simplement être considéré comme le chevauchement des processus de gestion des risques entre une entreprise et une autre pour utiliser des mesures cybernétiques proactives.

L’augmentation de la réglementation dans ce domaine nous oblige maintenant à nous attaquer à ce problème. L’adoption de techniques d’automatisation avancées dans le cadre de chaînes d’approvisionnement intelligentes nous oblige à prendre en compte les cyberrisques en conjonction avec les développements dans ce domaine.

Heureusement, la technologie nous permet d’affiner la frontière autrefois floue et de fournir l’assurance à la direction, aux parties prenantes et aux clients que nous pouvons prendre des mesures raisonnables pour garder suivre le rythme du changement et gérer les risques dans un monde connecté.

Carl Nightingale est un expert en confiance numérique et en cybersécurité chez PA Consulting.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance