IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La chaîne d’approvisionnement, le maillon faible de la cybersécurité ? Par Fabien Pereira Vaz, Paessler AG


Sujet :

Sécurité

  1. #1
    Candidat au Club
    Homme Profil pro
    Inscrit en
    novembre 2022
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : novembre 2022
    Messages : 1
    Points : 2
    Points
    2
    Par défaut La chaîne d’approvisionnement, le maillon faible de la cybersécurité ? Par Fabien Pereira Vaz, Paessler AG
    La chaîne d’approvisionnement (supply Chain), le maillon faible de la cybersécurité ? Par Fabien Pereira Vaz, Technical Sales Manager France chez Paessler AG

    Pour tenter de pénétrer un réseau informatique, les hackers visent toujours le maillon plus faible. Et la numérisation de la chaîne d’approvisionnement (Supply Chain) en a fait une cible de choix depuis quelques années. Le phénomène semble s’être amplifié durant la période de pandémie comme en témoignent diverses études*: BlueVoyant estime que 97% des entreprises ont été impactées par une violation de cybersécurité ciblant leur chaîne d’approvisionnement, tandis que Trend Micro montre dans une étude qu’une entreprise mondiale sur deux (52 %) a déjà relevé une attaque par rançongiciel au sein de l’organisation de sa chaîne d'approvisionnement.

    Nom : Fabien-Pereira-Vaz Aug22.jpg
Affichages : 124320
Taille : 14,4 Ko
    Fabien Pereira Vaz, Technical Sales Manager France, Paessler AG

    Pourquoi est-elle si difficile à sécuriser ?

    En soi, une attaque au niveau de la chaine d’approvisionnement n’a rien de nouveau. La difficulté réside dans le fait de parvenir à la maitriser en raison du grand nombre d’outils, de logiciels et de services qui composent l’organisation d’une entreprise. D’où l’importance, pour faire face aux menaces, de sécuriser de manière coordonnée et simultanée l’ensemble des maillons de la chaîne d’approvisionnement afin qu’aucun participant de l’écosystème ne soit le ‘maillon faible’ ciblé par les hackers.

    Il s’agira donc de faire prendre conscience à certains prestataires, en particulier ceux qui estiment ne pas détenir d’informations sensibles et donc rechignent à faire l’effort, qu’ils menacent l’ensemble la chaîne. Ce sont souvent les petites structures qui se sentent moins concernés ou ne disposent pas des budgets et outils nécessaires.

    Prévenir et évaluer : l’importance des audits

    En réaction, les grandes entreprises ont souvent réagi de manière contractuelle, même si l’ajout d’une clause contractuelle ne constitue pas un rempart face à une attaque cyber. D’autres soumettent leurs prestataires à une série de questionnaires qui restent toutefois déclaratifs et donc peu fiables – surtout si l’on considère que la personne qui répond n’a peut-être ni le temps ni les compétences pour répondre sur l’ensemble des points évoqués dans le questionnaire.

    En outre, évaluer la sécurité de ses partenaires reste coûteux et chronophage. Les plus grandes entreprises vont procéder à un audit par le RSSI – ou confier cet audit à un cabinet indépendant – en se focalisant souvent sur ses principaux fournisseurs. Cette méthode paraît néanmoins plus difficile à décliner lorsque l’entreprise compte plusieurs dizaines de fournisseurs.*

    Les audits restent la meilleure manière de vérifier la véracité de ce qui a été déclaré dans les questionnaires. Et mieux vaut les mener de manière aléatoire et proactive. Or, ils sont trop souvent menés selon un calendrier prédéfini, sans forcément tenir compte de l’évolution du paysage des menaces.

    Enfin, retenir des fournisseurs certifiés ISO 27001 et des solutions labellisées par l’ANSSI représentera une démarche plus sûre en termes de cybersécurité.

    Garder les bons réflexes

    Pour la direction informatique, les menaces qui pèsent sur la chaîne d’approvisionnement ne sont pas différentes de celles qui pèsent sur les autres infrastructures informatiques. En appliquant les bonnes méthodes -qu’il s’agisse de mise à jour régulière des logiciels et des correctifs, de protocoles sécurisés par des identifiants forts, de politiques Zero Trust, etc – elle doit être en mesure de garantir une sécurité avancée.

    Pour la renforcer davantage, elle veillera à optimiser sa visibilité globale sur l’ensemble des opérations qui concernent son réseau. Ainsi, lorsqu’une entreprise collabore avec de nouveaux partenaires ou qu’elle s’implante sur un nouveau marché, elle doit veiller à pouvoir conserver une excellente transparence et visibilité sur l’ensemble de son réseau.

    Souvent, les systèmes en amont sont confrontés à des incidents de sécurité qui exposent le réseau d’une entreprise. Pour prévenir tout risque de violation des données, le cryptage des données à la source représente aujourd’hui la meilleure protection. L’entreprise doit donc vérifier que chaque système connecté respecte les meilleures pratiques de sécurité.

    En conservant les lignes de communications ouvertes avec les systèmes en amont, l’entreprise peut surveiller les événements de sécurité et prendre les mesures nécessaires pour faire face en cas d’attaque. Il sera également intéressant d’automatiser les alertes de sécurité et de maintenir une communication constante en cas de crise pour une meilleure réaction coordonnée. Pour parvenir à mettre en œuvre ces normes, l’entreprise devra veiller à les faire approuver par l’ensemble de ses fournisseurs et systèmes tiers.

    Enfin, il convient de surveiller l’ensemble des points d’entrée du réseau. Si un accès sécurisé par un VPN constitue une exigence minimum de nos jours, il est possible de se projeter dans l’étape suivante et tirer parti de l’analyse des données pour surveiller l’activité des tiers sur le réseau de l’entreprise et détecter la moindre anomalie pour se montrer le plus réactif possible.

    Si un outil de surveillance ne peut pas être considéré comme un logiciel de sécurité à proprement parler, il représente néanmoins une brique importante du concept de sécurité globale. En surveillant le bon fonctionnement et les actualités des pares-feux et des antivirus, la surveillance est en mesure de détecter une activité inhabituelle au sein du réseau et ainsi éventuellement de découvrir des attaques de logiciels malveillants. Elle joue également un rôle important dans le concept de confiance zéro, par exemple lorsqu'il s'agit de surveiller l'état des appareils.

    Une supervision centralisée

    Les équipes de cybersécurité s'appuient sur un vaste réseau d'outils pour surveiller leurs réseaux. En centralisant le reporting via une solution de centre d'opérations de sécurité (SOC) ou équivalent, elles pourront classer facilement les menaces et les risques liés au réseau et ainsi hiérarchiser leur réponse aux incidents de sécurité en évaluant le risque lié à un actif compromis. Par exemple, une violation des données d'un client est-elle plus risquée qu'une attaque de logiciels malveillants sur une petite partie du réseau ? Classez chaque actif réseau et chaque point d'extrémité en fonction du risque et surveillez-les en conséquence.

    Un outil de reporting centralisé peut donner le contexte d'un point de vue organisationnel et aider l’entreprise à traiter plus rapidement les causes profondes.

    Sécuriser la chaîne d’approvisionnement est un défi en raison du flux constant de données auquel les systèmes sont soumis. Face à l’évolution constante des menaces, une approche dynamique coordonnées avec l’ensemble des partenaires de l’entreprise, doit permettre de réduire les menaces auxquelles l’entreprise se trouve exposée.

    À propos de Paessler AG

    Depuis 1997, Paessler AG propose des solutions de supervision destinées aux entreprises de tous les secteurs d'activité, quelle que soit leur taille, des PME aux grandes entreprises. Les produits de l'entreprise aident les clients à optimiser leurs infrastructures IT, OT et IoT et à réduire ainsi leur consommation énergétique ou leurs émissions.

    Source : Paessler AG

    Et vous ?

    Trouvez-vous cette analyse pertinente ?

    Voir aussi :

    Les attaques de la chaîne d'approvisionnement des logiciels ont augmenté de plus de 300 % en 2021 par rapport à 2020, dû à la faible sécurité dans les environnements de développement

    Des portes dérobées ont été trouvées dans plus de 90 thèmes et plugins WordPress, affectant plus de 360*000 sites actifs, suite à une attaque massive de la chaîne d'approvisionnement

    96 % des vulnérabilités connues des logiciels libres peuvent facilement être évitées mais sont ignorés, alors que les attaques de la chaîne d'approvisionnement logicielle ne cesse d'augmenter

  2. #2
    Membre éclairé
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 535
    Points : 885
    Points
    885
    Par défaut
    Bonjour

    La chaîne d'approvisionnement (supply Chain), le maillon faible de la cybersécurité ?
    Oui , " l'un des maillons faibles " .

    Faisant de l'edi je confirme qu'en supply chain , il y a encore des fournisseurs et / ou clients qui usent encore du papier . Du coup la chaine d'appro ... bah il y a un risque de se chopper une "crasse" si un circuit trop atypique est utilisé.

    PDF verrolé par exemple ... Fichier EDI (desadv , facture, commande ...) compromis ou vérolé qui fait planter le système.

    Trouvez-vous cette analyse pertinente ?
    En somme oui.

    ---

    A savoir que la supply chain est le croissement en data produit / service / client . C'est un mixe des 3 canaux de données.

Discussions similaires

  1. Réponses: 0
    Dernier message: 07/05/2019, 21h49
  2. Réponses: 1
    Dernier message: 19/02/2018, 11h58
  3. Réponses: 4
    Dernier message: 27/01/2017, 15h30
  4. Réponses: 3
    Dernier message: 09/04/2014, 01h13
  5. le maillon faible
    Par lammiia dans le forum Développement 2D, 3D et Jeux
    Réponses: 2
    Dernier message: 16/03/2006, 17h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo