La cybersécurité de la chaîne d’approvisionnement n’est aussi forte que le maillon le plus faible

Si vous avez un adolescent à la maison, vous avez peut-être rencontré le jeu en ligne Entre. Situé sur une station spatiale, les joueurs courent comme des extraterrestres d’apparence identique, c’est-à-dire jusqu’à ce qu’un joueur soit bousculé. Les joueurs restants doivent alors deviner lequel de leurs camarades de jeu est en fait une taupe qui fait des ravages.

Une vieille idée avec une métamorphose moderne, le jeu en ligne n’est pas à des millions de kilomètres de la nouvelle frontière des cybermenaces: les attaques de la chaîne d’approvisionnement. De CloudHopper à SolarWinds, les entreprises ont vu la fraude par e-mail et la compromission de compte faire tomber des systèmes entiers. Plus inquiétant encore, les entreprises ne peuvent plus simplement compter sur leurs propres systèmes de sécurité – il suffit d’une faille de cybersécurité dans la chaîne d’approvisionnement pour que des données sensibles soient divulguées à des criminels.

Notre industrie n’est pas naïve face au nombre croissant d’attaques qui capitalisent sur notre interconnectivité toujours croissante. Au fur et à mesure que les entreprises, petites et grandes, partagent des données et des actifs à grande échelle, nos vulnérabilités collectives se multiplient, devenant des cibles plus attrayantes pour les attaquants qui espèrent voir les dominos tomber un par un.

L’une des principales méthodes utilisées par les criminels pour attaquer les chaînes d’approvisionnement est l’usurpation d’identité, qui peut être remarquablement sophistiquée. Les cybercriminels peuvent passer des mois à traquer les comptes de médias sociaux des employés et les communiqués de presse de l’entreprise afin de régler les détails d’une chaîne d’approvisionnement, en déduisant où ils pourraient s’insérer pour détourner frauduleusement les factures ou encourager les employés à se livrer à des escroqueries par hameçonnage.

Alors que les entreprises mondiales peuvent avoir les ressources nécessaires pour employer des équipes de cybersécurité capables d’évaluer et de contenir le risque d’attaques de ce type, de plus en plus de criminels ciblent les petites entreprises plus bas dans la chaîne comme des portes dérobées vers des données de consommateurs incroyablement sensibles.

Les professionnels de la cybersécurité ont subi d’immenses pressions au cours des 18 derniers mois pour gérer la menace sur plusieurs fronts. Alors qu’il y a 10 ans, seuls les cybercriminels les plus sophistiqués – généralement parrainés par des États hostiles – pouvaient paralyser l’infrastructure nationale et les entreprises mondiales, les pirates informatiques individuels qui mènent des attaques de ransomware représentent maintenant un risque plus important pour la sécurité nationale du Royaume-Uni, selon le National Cyber Security Centre.

Alors, comment pouvons-nous nous assurer que la cybersécurité reste robuste tout au long des chaînes d’approvisionnement?

Les entreprises doivent reconnaître leur responsabilité partagée de s’assurer que la chaîne d’approvisionnement est cyber-sécurisée. Toutes les entreprises ont la responsabilité de se sécuriser afin de protéger leurs parties prenantes, leurs clients et leurs clients. Toutefois, selon le Enquête DCMS sur les atteintes à la cybersécurité Publié en mars 2021, seulement 12% des entreprises britanniques ont évalué le risque de cybersécurité posé par leurs fournisseurs.

Il s’agit d’une statistique qui donne à réfléchir et qui reflète l’attitude générale des cadres dirigeants selon laquelle la cybersécurité n’est encore qu’une considération secondaire pour la direction. Une préoccupation régulière soulevée par les RSSI est le manque de ressources pour protéger adéquatement les systèmes de l’entreprise, sans parler d’évaluer les systèmes des fournisseurs.

Nous avons donc besoin d’un changement d’orientation. Il n’est plus excusable de désigner comme boucs émissaires des services de cybersécurité sous-dotés en ressources, ou de s’attendre naturellement à ce que les fournisseurs soient suffisamment en sécurité. La cybersécurité, y compris l’évaluation de la conformité en matière de cybersécurité tout au long de la chaîne d’approvisionnement, devrait faire partie intégrante de toutes les entreprises opérant dans le monde de plus en plus en ligne d’aujourd’hui, et les fournisseurs doivent être tenus de respecter des exigences minimales en matière de cybersécurité.

À mesure que les cyberattaques deviennent plus fréquentes et sophistiquées, les entreprises doivent s’assurer qu’elles ne sont pas laissées pour compte. Aujourd’hui plus que jamais, les entreprises doivent tirer parti des projets prolifiques de partage de connaissances au sein de l’industrie de la cybersécurité, tels que SASIG, afin de rester à jour et d’alerter sur les dernières menaces.

Il est également essentiel que l’industrie fasse entendre sa voix alors que le gouvernement envisage sa nouvelle stratégie de cybersécurité.