La supply chain aux prises avec les cybermenaces
Publié par MATHIEU NEU le - mis à jour à
Aux côtés des problèmes persistants de pénurie, les cybermalveillances deviennent un risque majeur pour les supply chains. Retour les formes concrètes que prennent ces dangers et les bonnes pratiques pour y remédier.
Comment les chaînes d'approvisionnement servent-elles de porte d'entrée aux cybermalveillances et quelles sont les solutions pour y faire face ? Au cours d'un webinaire proposé par France Supply Chain vendredi 15 avril, plusieurs experts ont apporté des éclairages précieux sur cet enjeu qui s'impose de plus en plus comme un des défis majeurs de la décennie.
Les cyberattaques peuvent avoir des conséquences désastreuses. Le constructeur Toyota en a fait l'expérience il y a quelques semaines à peine avec 28 lignes de production qui ont été contraintes à une mise à l'arrêt. À l'origine, une attaque qui aurait provoqué une panne de système au sein de Kojima Industries, l'un des fournisseurs de composants électroniques et de pièces plastiques. Les exemples de ce type tendent à se banaliser aux quatre coins du monde.
« Avec des supply chains de plus en plus intégrées et imbriquées, la question n'est pas de savoir si votre chaîne d'approvisionnement se fera attaquer, mais plutôt quand », estime Marc Dauga, membre du Digital Lab de France Supply Chain. La globalisation de l'économie et les attentes toujours plus spécifiques ont progressivement conduit à une explosion du nombre de points de livraison, dans des délais de plus en plus courts. En conséquence, les chaînes d'approvisionnement se sont transformées, avec une internationalisation soutenue, motivée par la recherche de coûts toujours plus bas, et un nombre d'intermédiaires en hausse (transports, affrètement, prestataires technologiques...), augmentant ainsi le périmètre d'intrusion potentiel.
Des vulnérabilités variées
Pour Sébastien Marie, partner au sein du spécialiste de la transformation digitale Wavestone, « si les portes d'entrée sont nombreuses pour accéder au système d'information d'une entreprise, c'est en bonne partie en raison de briques applicatives conçues à une époque où le risque cyber était faible. Par ailleurs, le travail en mode dégradé, en cas de problème, n'est souvent pas possible. Les unités physiques se retrouvent de ce fait directement immobilisées. » Des négligences face à ces problèmes semblent persister : « 24 % des entreprises seulement assurent aujourd'hui que la cybersécurité est un chantier prioritaire. Elle n'arrive qu'en 7e position en matière de projets d'envergure à entreprendre », poursuit-il.
Les cybermalveillances répondent à des objectifs divers tels que les vols relatifs au savoir-faire industriel, la création de fausses commandes ou la divulgation d'informations à caractère personnel, généralement dans le but d'obtenir une rançon. On constate actuellement 3 grands risques qui découlent des attaques :
- l'inaccessibilité des systèmes et des données, qui conduit très vite à un blocage de l'entreprise. Le ransomware est la source classique de ce risque.
- la corruption des données ou des produits. Les volumes de production à prévoir peuvent par exemple être altérés, occasionnant des commandes impossibles, des marges dégradées.
- le vol de données. Certaines entreprises cherchent activement des informations auprès de concurrents, de données clients. En cas de vol, il y a bien sûr un risque RGPD important.
Benoît Bouffard, expert en cybersécurité chez Wavestone, décrit le schéma classique qui caractérise la quasi-totalité des attaques : « il y a d'abord une phase de reconnaissance, par des recherches Internet ou via LinkedIn par exemple. Ensuite vient l'envoi d'un e-mail piégé visant à accéder à des plateformes d'entreprise. Une fois à l'intérieur du système, on assiste à une tentative de propagation, de machines en machines, en chassant les mots de passe et autres solutions d'accès. Enfin, en dernier lieu, le code informatique malveillant est déployé dans l'organisation. »
Quels moyens d'action ?
Entre l'intrusion et le moment du déclenchement d'une cyberattaque, « la durée moyenne est de 52 jours, qui correspond en réalité à une période de collecte d'informations pour gagner en pertinence », précise-t-il. « Il faut pouvoir mettre à profit ce laps de temps, par exemple pour la détection de signaux faibles. »
Il est également recommandé d'oeuvrer pour que toute l'entreprise ainsi que les partenaires et les fournisseurs soient inclus dans les démarches d'identification et d'exposition aux risques, de sensibilisation des équipes et de détection de failles. « Au-delà de la DSI et du RSSI, il faut un référent cyber au sein de la supply chain », conseille Sébastien Marie.
Les experts estiment que les budgets initiaux souhaitables en matière de cybersécurité lors de la transformation digitale d'une supply chain se situent dans une fourchette de 5 à 10 % de l'ensemble du projet. Dans un second temps, il s'agit de prévoir des dépenses de fonctionnement représentant 2 à 3 %.
« En cas d'attaque, la phase d'intervention ou de réparation a posteriori ne doit pas être négligée », ajoute Benoît Bouffard. « Entre le moment où on prend les rennes en tant qu'expert pour corriger le problème et le moment où on peut agir efficacement, 2 jours d'attente sont nécessaires en moyenne. Inutile de relancer des applications tant que le diagnostic n'a pas été établi avec certitude. L'ensemble du système d'information retrouve généralement un fonctionnement optimal après 2 mois de travail. »