Il suffisait pourtant avant de simplement sécuriser vos propres opérations, former vos propres équipes et adopter vos propres technologies pour vous protéger au mieux. Cela est devenu plus compliqué aujourd’hui. Les attaques contre les logiciels de supply chain sont de plus en plus courantes, Gartner prédisant que 45 % des entreprises mondiales en seront la cible d'ici 2025, soit trois fois plus qu'en 2021. Cela rend la sauvegarde des supply chain plus importante que jamais.
Les cybercriminels potentiels sondent tous les recoins de la supply chain pour y trouver la moindre ouverture. Les entreprises supposent à tort que leurs partenaires ont déjà mis en place des stratégies solides en termes de cybersécurité. Elles doivent pourtant veiller à ce que les maillons faibles de la chaîne soient atténués pour ainsi se protéger et protéger au mieux leurs clients.
La supply chain est prise pour cible
De nombreuses entreprises en activité aujourd'hui dépendent fortement d'un vaste réseau de fournisseurs dans la planification, la création et la livraison de produits et de services. Cependant, selon une étude menée par Coleman Parkes en avril 2024 pour le compte de BlackBerry, « moins de la moitié (44 %) des décideurs informatiques français ont déclaré demander une certification confirmant la conformité de leur fournisseurs, et un nombre encore plus faible demande des procédures opérationnelles normalisées (36 %) et des rapports d'audit (31 %). »Dans ce contexte, les opérations de la chaîne logistique sont devenues la cible privilégiée des cybercriminels : « près de 8 décideurs informatiques français sur 10 ont reçu une notification d’une attaque ou d’une vulnérabilité dans les logiciels de la supply chain au cours des douze derniers mois. Plus de 50 % de ces organisations mettent jusqu’à une semaine pour s’en remettre. » révèle l’étude.
Prévenir le risque de menaces dans votre chaîne d’approvisionnement, aussi indirect que le lien puisse paraître, est un élément crucial de la protection de votre activité. Si vous opérez au sein d'une supply chain, vous aurez souvent des exigences de sécurité imposées par vos clients ou des tiers par le biais des Engagements de niveau de service (SLA). Il est important d'inclure des conditions similaires et des clauses de sécurité standards par défaut dans tous les contrats avec vos propres fournisseurs. Avoir une stratégie en place, telle que l’architecture « Zéro trust », au cas où le pire scénario venait à se produire, est également essentiel.
Envisager une approche « Zero Trust »
L’une des meilleures pratiques en matière de renforcement de la sécurité de la chaîne d’approvisionnement consiste à adopter une architecture « Zero Trust ». Cela supprime l'élément de confiance automatique dans la sécurité des dispositifs et des employés.« Zero Trust Network Access » (ZTNA) fonctionne en accordant l'accès aux réseaux en fonction de l'identité de l'utilisateur et de son contexte (par exemple, les applications consultées). Les utilisateurs sont d'abord classés en fonction de leurs rôles métier et des niveaux d'accès dont ils ont besoin. Le contexte de la demande est ensuite évalué – par exemple, où l’utilisateur se connecte, via quel dispositif et si ce même dispositif est sécurisé.
ZTNA fonctionne sur le concept de « ne jamais faire confiance, toujours vérifier », avec une vérification en permanence de la session d’accès de l’utilisateur. En d’autres termes, si un attaquant accède à un maillon faible de la chaîne d’approvisionnement, il ne pourra pas avancer plus loin sur le réseau. L'adoption de ce cadre permettra aux entreprises de hiérarchiser le trafic et d'accéder en toute sécurité aux applications SaaS (Software-as-a-Service) et cloud, tout au long de la chaîne d’approvisionnement. Il permet aux équipes informatiques de renforcer la résilience face aux risques de sécurité tiers au niveau de la supply chain, sans renoncer aux avantages opérationnels des relations avec les différents fournisseurs.
L'un des plus grands défis pour les organisations visant à adopter un modèle « Zero Trust » est le manque de compréhension du cadre et de la manière de l’appliquer correctement. Selon Gartner, 60 % des entreprises adopteront le « Zero trust » comme point de départ pour la sécurité d'ici 2025, mais plus de la moitié ne parviendront pas à en tirer les bénéfices. Par conséquent, il est essentiel pour les entreprises d’investir du temps dans la formation de leurs équipes et de leurs clients sur la mise en œuvre du cadre « Zero Trust », que ce soit par le biais de formations internes ou en collaboration avec un partenaire expérimenté proposant des solutions sur mesure.
Dans notre monde connecté, et qui plus est en matière de sécurité, les entreprises doivent regarder bien au-delà de leur champ d’action. Bien que la protection de la technologie qui gère la chaîne d'approvisionnement soit sans aucun doute un défi, un cadre Zero Trust, des relations solides et des SLA avec vos fournisseurs, ainsi qu'un bon niveau de formation et de perfectionnement pour les membres de votre équipe, peut permettre aux entreprises de garder une longueur d'avance pour s'assurer de combler rapidement et efficacement toute lacune potentielle au niveau de la supply chain.
Par Tom Major, SVP Product Management chez GTT