Supply Chain : en l’espace d’une année, les cyberrisques ont été multipliés par 4

supply-chain-certified

Il faut choisir des fournisseurs formés à la cybersécurité

Nous savons tous à quel point un fournisseur de biens ou de services avec lequel nous entretenons une relation de confiance consolidée peut être précieux. Un principe valable dans la vie quotidienne, mais encore plus dans le travail et l’organisation d’une entreprise.

Nous vivons maintenant dans un monde globalisé où les petites et moyennes entreprises se sont ouvertes aux marchés internationaux et ont adopté des politiques d’approvisionnement mondial précisément pour trouver dans le monde entier les fournisseurs pouvant garantir un prix plus avantageux et de garantir les économies nécessaires aux affaires de l’entreprise. Ainsi, des parts toujours croissantes des activités ont été déléguées à des fournisseurs même très éloignés.

Nous parlons des chaînes d’approvisionnement, de la supply chain, c’est-à-dire du processus qui achemine, à travers différentes étapes, un produit ou un service du fournisseur au client final.

Il s’agit d’un processus complexe qui implique plusieurs figures professionnelles et active divers processus de l’écosystème-entreprise : des matières premières à la logistique. Mais le concept peut aussi se référer aux aspects de coordination managériale qui servent à optimiser les différents maillons de la chaîne. Dans ce cas, on parle de Supply Chain Management et on se réfère à l’ensemble des éléments qui rendent possible le déroulement des phases précédentes.

Sur le marché mondial, le maillon faible est toujours le facteur humain

Tout cela, comme nous l’avons dit, a pris, avec la mondialisation des marchés, l’intensification des flux de matières premières et l’avènement du commerce électronique, une valeur bien différente et une complexité nettement supérieure à celle d’il y a quelques années.

Ces processus globaux ont allongé les filières en les rendant moins contrôlables, augmentant la dépendance des entreprises à l’égard d’infrastructures parfois peu connues et potentiellement critiques. Dans une chaîne difficile à contrôler, le maillon faible peut se cacher partout, même dans le facteur humain. La preuve en sont les cyberattaques de plus en plus fréquentes et de plus en plus malveillantes.

Les cyberattaques contre les entreprises sont de plus en plus répandues. C’est ce qu’affirme l’agence de l’Union européenne pour la cybersécurité (ENISA) dans son rapport Threat Landscape for Supply Chain Attacks, une liste de 24 incidents qui ont affecté la supply chain entre janvier 2020 et début juillet 2021.

Selon l’étude, sur la base des tendances et des modèles observés, les attaques de la chaîne d’approvisionnement ont augmenté en nombre et en sophistication au cours de l’année 2020. Une tendance qui s’est poursuivie en 2021, et qui a vu ses attaques quadrupler au cours des six premiers mois par rapport à 2020.

Parmi les différents vecteurs d’attaque les plus utilisés figurent : les infections par logiciels malveillants, l’ingénierie sociale (hameçonnage), les attaques par force brute, les vulnérabilités logicielles d’exploitation. Quelle que soit la technique d’attaque utilisée, l’objectif est toujours d’obtenir l’accès aux :

  • Données client (58 %),
  • Personnes clés (16 %),
  • Ressources financières (8 %).
Remplacer les fournisseurs de confiance par d’autres inconnus ?

Parmi les facteurs qui ont contribué à cette montée des cyberrisques, il y a sans aucun doute la crise pandémique. La pandémie a entraîné une forte croissance de l’utilisation du Net non seulement pour les activités professionnelles (smart working), mais aussi pour le commerce électronique. Tout cela a sans aucun doute contribué à élargir la surface d’attaque.

La pandémie a également engendré, à l’échelle mondiale, un grave problème d’approvisionnement, pas encore entièrement réglé, qui a entraîné le remplacement des fournisseurs de confiance par d’autres inconnus. Ainsi, selon une étude commandée par Reichelt Elektronik à l’institut de recherche OnePoll menée au cours du mois de janvier 2022 sur un échantillon de 250 décideurs informatiques du secteur manufacturier italien, seuls 62% des entreprises interrogées en Italie sont toujours confiantes quant à une éventuelle reprise de la supply chain.

Selon l’étude du premier semestre 2021 à aujourd’hui, l’augmentation des arrêts de production au cours des douze derniers mois s’est élevée à 20 %, pour une moyenne totale d’environ 44,2 jours, en raison des retards et des ralentissements tout au long de la chaîne d’approvisionnement.

Un arrêt que peu de personnes peuvent se permettre et qui a entraîné, dans la plupart des entreprises concernées, la recherche de nouveaux fournisseurs.

Nouveaux fournisseurs recherchés, mais certifiés

Nous connaissons tous cet adage « on sait ce qu’on quitte, mais on ne sait pas ce qu’on va trouver ». Ainsi, avec les nouveaux contacts qui sont devenus de nouveaux maillons de la chaîne, les risques d’introduire des vulnérabilités dans les différentes étapes de la production ont augmenté. En bref, quand il faut décider rapidement entre « prendre ou laisser », la première chose dont il faut tenir compte est la sécurité. Et nous savons tous à quel point c’est risqué.

Il suffit d’une seule vulnérabilité non gérée, d’un seul maillon faible, pour faire sauter toute la chaîne et mettre en péril toutes les entreprises impliquées.

Pour réduire ces risques, il est donc nécessaire de choisir des partenaires de confiance et d’évaluer pleinement le fournisseur. Il existe des critères établis pour le choix : le coût, la qualité, les références, la réputation et les normes éthiques, le service client.

Mais il y a un critère qu’il faut mettre en tête de liste et qui est aujourd’hui incontournable. Une formation adéquate sur la sensibilisation à la cybersécurité qui doit être vérifiée et éventuellement certifiée auprès des fournisseurs de toute la chaîne d’approvisionnement.

Si l’on tient compte du fait que 90 % des cyberattaques dans le monde peuvent être attribuées à une erreur humaine, et que les pirates profitent des maillons faibles de la chaîne, il faut s’assurer que tout le personnel des fournisseurs impliqués dans la supply chain est à la hauteur pour gérer les risques cybernétiques liés à l’utilisation des technologies numériques. Une assurance qui peut être garantie par une certification éprouvée obtenue pour avoir suivi la bonne formation soutenue par des programmes de formation adéquats.

En bref, aussi précieux qu’un fournisseur puisse être, sa formation éprouvée et certifiée sur la sensibilisation à la cybersécurité ne peut plus être considérée comme un simple détail. Surtout lorsque la vulnérabilité informatique de quelqu’un peut générer des dommages économiques importants et compromettre les résultats de tout le monde.

En savoir plus sur les parcours de formation de Cyber Guru