Le rapport 2021 « Cybersécurité de la Supply Chain : 5 défis clés à relever » de Cybervadis constate que de nombreuses ont mis en place des procédures de gestion des incidents et des PCA. Mais très peu d’entre elles font des tests réguliers…
Dans le cadre de cette étude, Cybervadis (spécialisé dans l’évaluation des risques) a analysé les résultats d’évaluation de 1 289 entreprises de différentes tailles, de différents secteurs d’activité et issues de 67 pays.
Son rapport se concentre sur cinq sujets clés : la confidentialité des données et la conformité au règlement général sur la protection des données (RGPD), la gestion des accès, la sécurité du cloud, la détection et la réponse à incident ainsi que la continuité d’activité et la gestion de crise.
Mais cette enquête pointe du doigt des vulnérabilités clés dans la sécurité de la supply chain :
- Si 3 organisations sur 4 ont défini un processus de réponse sur incident, seulement 4 % des entreprises interrogées effectuent des exercices réguliers de gestion de crise
- Seuls 37 % des entreprises déclarent avoir déployé l’authentification forte pour leurs comptes à privilèges
- Seuls 22 % des organisations s’assurent que le processus d'achat comprend des contrôles dédiés à la conformité et à la confidentialité des données
- Moins d’une entreprise sur trois (29 %) a évalué les risques liés au non-respect potentiel de la réglementation sur la confidentialité des données
- 25 % des entreprises ont défini une stratégie de gestion des accès par les tiers à leurs systèmes d’information.
Autre constat les entreprises se tournent de plus en plus vers les solutions cloud pour stocker leurs données. Mais ce rapport rappelle que 19 % des attaques malveillantes étaient dues à des cloud mal configurés.
Le plus inquiétant quant à la pérennité de l’activité, un tiers des entreprises interrogées s’assurent que leur prestataire de services a mis en place un plan de continuité d’activité. En partie, car elles ne disposent pas des bons profils.
La même proportion s’assure que leur prestataire de service cloud a mis en place un processus de réponse aux incidents. Les entreprises elles-mêmes ne sont que 44 % à avoir mis en place un plan de continuité d’activité (PCA) et moins d’un quart le teste de façon périodique.