Supply chain : le maillon faible de la cybersécurité

Jamais le monde n’avait été aussi interconnecté. Cette interconnexion représente aussi une source de risques importante : les partenaires, fournisseurs et autres tiers qui forment la supply chain des entreprises, peuvent devenir des voies d’accès pour les hackers.

La supply chain est ainsi devenue un aspect incontournable de toute stratégie de cybersécurité et de gestion des risques.

La force du commerce est aussi sa faiblesse en matière de cybersécurité : l’interconnexion, qui frise désormais parfois à l’interdépendance. Puisque les grands industriels et les grands groupes ont sérieusement investi dans leur cybersécurité, les criminels ont dû s’adapter. Face à une cible principale trop bien défendue, ils s’attaquent désormais à la multitude de petits fournisseurs qui alimentent les chaînes de fabrication des grands donneurs d’ordres.

Cyberattaque sur SolarWinds

L’attaque qui a touché SolarWinds est encore dans tous les esprits. Cette attaque a été un vrai électrochoc pour de nombreuses entreprises. Soutenus par un État, des hackers sont en effet parvenus à infiltrer les systèmes d’une société qui proposait des services d’infrastructure à plus de 80 % des entreprises du Fortune 500, des agences du gouvernement fédéral américain, mais aussi des centaines d’établissements d’enseignement publics.

Les risques de la supply chain

Gérer les risques de la supply chain, c’est s’assurer que nos fournisseurs ne nous exposent pas à des risques particuliers, mais aussi traiter les menaces pouvant peser sur son entreprise s’ils venaient à faire l’objet d’une attaque, d’une fuite de données ou d’un autre type d’incident.

“Jamais le monde n’avait été aussi interconnecté. Aujourd’hui, le cloud et les technologies numériques permettent aux entreprises de partir à la conquête du monde entier. Malheureusement, cette interconnexion représente aussi une source de risques importante : les partenaires, fournisseurs et autres tiers qui forment la supply chain des entreprises, peuvent devenir des voies d’accès pour les hackers”, résume Jérôme Soyer, Varonis.

Il suffit désormais de compromettre l’ordinateur portable du technicien de maintenance d’une PME sous-traitante d’un grand groupe pour contourner une partie de ses défenses.

“Depuis les sites de production jusqu’aux distributeurs, les intervenants sont nombreux : c’est un monde en interdépendance qui ne peut fonctionner de façon cloisonnée”, ajoute Ivan Rogissart, zScaler.

D’autres secteurs fortement impactés

Sekoia.io s’est penchée sur le secteur des transports : du fait de son rôle de chaîne d’approvisionnement et d’interconnexion des économies est principalement impacté par des acteurs cybercriminels dont le ciblage reste opportuniste et la finalité lucrative. “Cette menace est dominée par l’utilisation d’attaques de type ransomware où les attaquants exigent le paiement d’une rançon pour restaurer l’accès aux données d’entreprises ayant été chiffrées” explique François Deruty, Sekoia.io.

Et c’est bien cette interdépendance qui, en s’accentuant au fil des années, a fait de la protection de la Supply Chain un sujet majeur au sein des grands groupes. Il faut dire que la tendance à la production en flux tendu a ouvert la voie à des interconnexions en temps réel beaucoup plus difficiles à contrôler. Ajoutons à cela une explosion du nombre de sous-traitants, et la difficulté d’exercer un contrôle strict sur leur hygiène informatique, et tous les ingrédients sont là pour faire de la vulnérabilité de la Supply Chain un sujet explosif, aujourd’hui et pour les années à venir.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.

Partager cet article

Nos billets d’humeur les plus lus

A l’ère du deepfake politique, nos démocraties sont-elles en danger ?

Utilisée par les candidats pour mener leur campagne, ou pour déstabiliser un adversaire,…

Comment réinventer la cybersécurité à l’ère de l’IA ?

Jeux Olympiques, élections... 2024 : une actualité favorable à l'accélération de l’IA.……

Cyber security copywriter : Comment réussir son copywriting en cybersécurité ?

Cyber security copywriter : Comment réussir son copywriting en cybersécurité ?

Sur le marché, de multiples éditeurs et intégrateurs se livrent une véritable bataille…