Votre entreprise est-elle ciblée par des pirates visant les chaînes d'approvisionnement ?

Gill Langston, 23 juillet 2019

Découvrez comment empêcher votre entreprise de devenir le maillon faible dans la chaîne d'approvisionnement numérique.

Nos pratiques commerciales ont complètement changé au cours des dernières années. Les formats papier ont été remplacés par des empreintes numériques et de savantes solutions techniques ont envahi le marché. Ce passage à la numérisation peut s'avérer formidable pour les entreprises modernes. Il augmente l'efficacité et la rapidité opérationnelle, en particulier dans le domaine des chaînes d'approvisionnement. Un nouveau revendeur, fournisseur de logiciels tiers ou partenaire peut se connecter à une entreprise en un clic ; mais le niveau de sécurité des nouveaux partenaires commerciaux étant souvent négligé, vous, ainsi que d'autres entreprises de votre chaîne d'approvisionnement, êtes alors exposés à un risque majeur.

Les initiatives de transformation numérique créent un terrain plus vulnérable pour les entreprises. Trouver et recruter de nouveaux partenaires est plus facile que jamais, mais ces connexions étendues entre les entreprises ne sont pas toujours sécurisées et les cybercriminels peuvent les utiliser pour accéder à vos données. Selon une enquête réalisée en 2018 par le Ponemon Institute, 56 % des organisations ont subi une violation de leurs données causée par l'un de leurs fournisseurs. La société Target a notamment été victime d'une violation de ses données de grande envergure en 2014, qui a affecté plus de 70 millions de clients à cause de son fournisseur de systèmes de CVC, Fazio Mechanical Services (FMS). Après avoir eu accès à FMS, la cible la plus petite, les pirates informatiques ont pu accéder au réseau de Target via la chaine d'approvisionnement numérique.

Les responsables informatiques sont souvent conscients des risques, mais ne savent pas exactement comment prendre les précautions nécessaires. Selon une étude réalisée par Spiceworks, 44 % des responsables de la sécurité et de l'informatique ont déclaré que leur entreprise avait été victime d'une violation de données importante, au point d'en modifier son activité, à cause d'un fournisseur. Près de 250 entreprises de l'étude ont déclaré avoir été victimes d'une violation de leurs données en raison d'une faille de sécurité de l'un de leurs fournisseurs. Mais écarter les fournisseurs et les distributeurs n’est pas une option viable. La solution consiste plutôt à assurer la visibilité de votre chaîne d'approvisionnement et trouver un équilibre entre connectivité et sécurité.

Alors, de quoi est réellement constituée une chaîne d'approvisionnement numérique ?

Les revendeurs, partenaires, fournisseurs, distributeurs ou toute entité tierce impliquée dans une entreprise constituent les chaînes d'approvisionnement. Les connexions externalisées peuvent traiter les comptes fournisseurs, le développement de produits, la gestion de sites Web ou même, dans le cas de Target, la maintenance d’installations matérielles. Avoir une chaîne d'approvisionnement numérique infinie pose un problème de confidentialité des données. Dans l’environnement d’aujourd’hui, les données circulent non seulement dans une entreprise, mais également entre des tiers, des partenaires et entre des utilisateurs et leurs appareils. C'est la raison pour laquelle les violations de données sont si courantes. Les points d'accès aux données sont omniprésents et la protection des informations personnelles peut s'avérer lourde et coûteuse, en particulier pour les petites et moyennes entreprises (PME) devenues des cibles privilégiées pour les cybercriminels. Près de la moitié des cyberattaques et des violations de données sont maintenant dirigées contre les PME. Pourquoi ?

Les PME sont la clé d’accès aux grandes entreprises

Les pirates de chaîne d'approvisionnement ciblent les PME pour accéder aux grandes entreprises via n'importe quelle connexion numérique. Pour exemple, la société Equifax a attribué l'énorme violation de ses données à une faille dans une entreprise externe qu’elle utilisait. Les pirates ont simplement ciblé une petite entreprise moins sécurisée. Plus récemment, la société Freedom Mobile, fournisseur canadien de télécommunications sans fil, a annoncé une violation généralisée de ses données, dû à une faille de sécurité créée par un service tiers qu'elle utilisait. C’est pourquoi il est important de surveiller les liens de votre chaîne d’approvisionnement numérique et de mettre en place une protection au niveau des PME.

Les petites et moyennes entreprises (PME) sont ciblées car :

  • Leur moindre budget et leurs faibles ressources de défense contre une cyberattaque en font des cibles de choix.
  • Les PME manquent souvent de mesures stratégiques de sécurité et de personnel qualifié, et se contentent d'ajouter des solutions nouvelles et disparates lorsqu'elles disposent des ressources requises, ce qui entraîne davantage de surfaces d'attaque et moins de cohésion.

Impact d'une attaque informatique sur la chaîne d'approvisionnement d'une PME

Vous vous demandez peut-être quelles sont les conséquences pour les PME. Que se passe-t-il lorsque vous êtes identifié comme le maillon faible ? Non seulement vous risquez d'être la source d'infection pour plusieurs entreprises, mais vous risquez également de détruire votre propre entreprise. Selon le Ponemon Institute, un piratage informatique coûte en moyenne 690 000 dollars aux petites entreprises et plus d'un million de dollars aux entreprises de taille moyenne. Cela peut sembler insignifiant comparé aux violations de données d'entreprises très médiatisées, mais les PME sont souvent incapables de poursuivre leurs activités commerciales habituelles, et risquent même de tout perdre.

Le coût des opérations de redémarrage, de perte de productivité et des réparations de systèmes n'est pas le seul impact négatif sur les PME touchées par les attaques informatiques de chaîne d'approvisionnement. Le Règlement général sur la protection des données (RGPD) de l’Union européenne peut affecter les PME qui collectent des renseignements personnels. Ce règlement inclut le signalement obligatoire des atteintes, avec des amendes pour les organisations qui ne signalent pas une atteinte dans les 72 heures suivant sa détection. Les pénalités sont sévères, atteignant 4 % du chiffre d'affaire annuel ou 20 millions d'euros (22,4 millions de dollars), le plus élevé des deux montants étant retenu.

Vous voyez clairement à quel point les atteintes peuvent être dévastatrices. La connectivité numérique ne fait qu’augmenter davantage le ciblage des petites et moyennes entreprises. Comment les PME peuvent-elles verrouiller leur maillon dans la chaîne ?

Défendre votre entreprise

Sensibilisez la première ligne – vos employés

La première étape de la sécurisation de votre réseau consiste à informer. Organiser des formations, des réunions d'information, des webinaires ou même envoyer des courriels de rappel peut aider les employés à détecter les tactiques de phishing et les faux sites Web. Il est important de souligner l’impact d’un piratage ou d’une atteinte informatique sur l’entreprise afin de motiver les employés à faire preuve de plus de prudence.

Surveillez les comptes et les niveaux d'accès

Seuls les utilisateurs nécessaires au sein de votre organisation doivent disposer d'un accès administratif aux outils et aux plates-formes. Les comptes d'anciens employés ou partenaires doivent être supprimés. Il est néanmoins essentiel d’en garder des traces. Les mots de passe doivent être régulièrement changés et comporter des combinaisons de mots de passe forts et une authentification à deux facteurs. Restez attentif aux applications ou aux programmes auxquels vos employés ont accès à partir des périphériques de l'entreprise ; la mise en place d’un filtre de contenu ou d’une passerelle Web sécurisée peut également aider à protéger les utilisateurs contre les pages Web non sécurisées.

Maintenez la protection des logiciels grâce aux correctifs

Les cybercriminels ciblent et profitent des logiciels non protégés. Cela leur permet de trouver facilement une faille dans votre stratégie de sécurité. Il est difficile pour les équipes informatiques de suivre le rythme des publications de nouveaux correctifs. Le logiciel de Gestion des correctifs aide les entreprises à centraliser des correctifs complets et à assurer la sécurité du réseau.

Utilisez des pare-feux, des passerelles sécurisées et des solutions antivirus

De nouvelles méthodes d'attaque apparaissent rapidement. Des solutions robustes de cybersécurité constituent une barrière entre votre réseau et les méchants. L'installation d'un logiciel antivirus sur tous les appareils, d'un pare-feu réseau et de passerelles sécurisées réduit les risques d'une atteinte informatique aux conséquences coûteuses et vous procure une tranquillité d'esprit.

Rester protégé dans une chaîne d'approvisionnement numérique

Que vous craigniez d'être une cible ou que vos connexions tierces ne soient pas suffisamment protégées, la sécurité commence par une prise de conscience. Il faut donc savoir reconnaître les vulnérabilités inhérentes à la connectivité numérique. Vous trouverez ci-dessous quelques moyens de déterminer le niveau de sécurité de votre chaîne d’approvisionnement numérique et d’implémenter une protection.

1. Répertoriez vos fournisseurs, distributeurs, revendeurs, en clair toute entreprise ou tout individu ayant accès à vos données ou connecté(e) à votre entreprise d'une manière ou d'une autre. Dans une enquête récente, seulement 35 % des entreprises disposaient d'une liste complète de tous les tiers avec lesquels elles partageaient des données sensibles, et seulement 18 % savaient si leurs fournisseurs partageaient ces données avec d'autres fournisseurs.

2. Identifiez les données auxquelles chaque fournisseur a accès : informations de carte de crédit, numéros de sécurité sociale, adresses ?

3. Déterminez si chaque fournisseur partage les données de votre entreprise via sa propre chaîne d'approvisionnement. Les fournisseurs peuvent revendre vos données à des entreprises de recherche ou de marketing.

Les étapes à mettre en œuvre pour protéger votre entreprise :

  • Supprimez l’accès là où il n’est pas nécessaire. La création et l'application de niveaux de privilèges peuvent aider à déterminer les personnes qui doivent avoir un accès à vos données.
  • Informez les employés qui travaillent avec des tiers sur la façon de sauvegarder des données. Peu importe la durée de votre partenariat commercial avec un fournisseur, les mêmes consignes de sécurité doivent s'appliquer.
  • Mettez en œuvre les accréditations de sécurité requises, telles que Cyber Essentials et/ou la norme ISO/CEI 27001 de gestion de la sécurité de l'information. Ces accréditations vérifient que les entreprises respectent le niveau de sécurité minimal requis pour leurs clients ou leurs fournisseurs.

Installez des solutions d'entreprise en matière de cybersécurité pour vous protéger. Certaines choses passent parfois à travers les mailles du filet. Il est primordial de mettre en place plusieurs niveaux de sécurité afin de protéger votre réseau du caractère imprévisible de la cybercriminalité.

Articles liés