Minimiser les surfaces d’attaques et l’impact d’un potentiel cyberincident sur l’entreprise grâce à une cartographie rigoureuse des risques et à la mise en œuvre d’un programme de cybersécurité constitue une étape préliminaire et cruciale, mais insuffisante.
En effet, dans l’économie mondialisée, aucune entreprise n’opère de façon isolée et la chaîne d’approvisionnement est devenue un vecteur important de cybermenaces. La moindre faille de sécurité détectée chez un fournisseur devient une vulnérabilité pour l’entreprise cliente.
La cyberrésilience d’une entreprise dépend donc aussi du degré de sécurité du maillon le plus faible de sa chaîne d’approvisionnement. Par conséquent, en plus de sécuriser leurs systèmes, les organisations doivent s’assurer de sécuriser leur écosystème, et particulièrement le réseau de fournisseurs et de sous-traitants avec lesquels elles transigent.
Les fournisseurs sont devenus des cibles de choix et sont victimes de cybermenaces, voire de cyberincidents, très variés. Plusieurs analystes du marché anticipent que leur nombre va continuer d’augmenter.
C’est le cas du cabinet PwC qui avance que 54 % des personnes interrogées au Canada, dans le cadre de son sondage annuel Digital Trust 2022(1), s’attendent à une augmentation des incidents à signaler en 2022 en raison d’attaques contre la chaîne d’approvisionnement en logiciels, ainsi qu’à une augmentation des risques liés aux tiers et à la chaîne d’approvisionnement.
Parmi les différents motifs d’attaque présentés ici par l’Agence européenne pour la cybersécurité (ENISA)(2), le chiffre selon lequel 62 % des attaques visent à exploiter la confiance qui lie une entreprise et son fournisseur est très révélateur.
En matière de cybersécurité, il serait imprudent de fonder une évaluation des risques sur la seule relation de confiance client-fournisseur. Il apparaît au contraire indispensable d’adopter une approche structurée et d’exiger de leur part un niveau minimum de cybersécurité.
De même qu’elles ont analysé et évalué leurs propres systèmes informatiques et opérationnels, les entreprises devront déterminer le degré de risque de chacun des fournisseurs impliqués dans leur processus de production.
Dans le domaine des transports, plusieurs systèmes généralement sous-traités à des entreprises tierces peuvent être concernés ; les systèmes de climatisation ou d’ouverture de portes et les compteurs de passagers en sont de bons exemples parmi d’autres. Les éditeurs des logiciels utilisés par l’entreprise devront aussi être pris en compte, tout comme les fabricants auprès desquels elle s’approvisionne pour des pièces électroniques qui entrent dans la conception de circuits électriques.
Déterminer où se situent les risques les plus importants dans la chaîne d’approvisionnement implique d’en examiner attentivement chaque constituant. Pour ce faire, l’entreprise pourra par exemple mettre en place des questionnaires d’auto-évaluation afin d’identifier les sous-traitants les plus à risque. Grâce aux données recueillies, elle pourra ainsi évaluer le niveau de maturité de chacun et mieux comprendre quels sont les actifs organisationnels ou opérationnels ainsi que les informations sensibles auxquels ils ont accès.
Suite à la collecte d’informations et à l’analyse des résultats des questionnaires, et selon la nature des constats qui seront dressés, l’entreprise devra revoir et améliorer son processus de sélection des fournisseurs afin de renforcer les exigences minimales relatives à la cybersécurité. À terme, certaines organisations feront le choix de consolider leur chaîne d’approvisionnement pour faciliter le contrôle qu’elles peuvent exercer sur le respect des exigences imposées à leurs sous-traitants.
Qu’il s’agisse d’un fournisseur de longue date de l’entreprise ou d’un nouveau venu, il est important de bien les intégrer à la démarche d’évaluation et de communiquer clairement avec eux afin de s’assurer que l’ensemble de la chaîne d’approvisionnement est sécurisée.
Il sera toujours plus facile de poser des bases claires et d’exiger des conditions minimales de cybersécurité lors de l’établissement de nouveaux contrats que de les établir avec les partenaires de longue date. Il est néanmoins vital d’introduire avec ces derniers les enjeux et les exigences de cybersécurité grâce à l’apport des représentants des départements de l’approvisionnement (acheteurs) et des équipes juridiques. Ce sont eux qui catalyseront le démarrage des activités de sensibilisation et des revues de processus internes ainsi que des révisions obligées des clauses contractuelles d’approvisionnement. Il s’agira donc de former adéquatement ces professionnels aux exigences minimales de cybersécurité requises qui pourraient faire l’objet de négociations avec les sous-traitants.
Au fur et à mesure que la réglementation et les certifications destinées à accroître la cybersécurité seront adoptées et appliquées à travers l’industrie, l’intégration de mesures spécifiques à la cybersécurité devra être prise en compte dans les activités contractuelles d’approvisionnement.
La norme ISO 21434 exige une étroite collaboration entre l’intégrateur ou le concepteur d’un système et ses différents fournisseurs imposant ainsi que les rôles et les responsabilités de chacune des parties soient clairement identifiés, documentés et mutuellement acceptés. L’intégrateur devra par la suite s’assurer que les processus de cybersécurité établis soient respectés tout autant dans son entreprise qu’auprès de ses sous-traitants.
Selon Statistique Canada, 47 % des attaques informatiques au pays en 2019 ciblaient les PME(3), qui, avec plus de 1,14 million d’entreprises au pays(4), constituent des acteurs essentiels du tissu économique national.
Se croyant trop petites pour représenter une cible attrayante, elles sous-estiment trop souvent les cybermenaces dont elles pourraient être victimes. Les PME disposent souvent de systèmes de sécurité moins robustes qui deviennent des portes dérobées plus faciles d’accès pour la pénétration des systèmes informatiques des plus grandes entreprises.
Cette situation de vulnérabilité pourrait être circonscrite par les donneurs d’ouvrage s’ils étaient proactifs en encourageant une approche collaborative avec l’ensemble de ses partenaires afin de solidifier sa chaîne d’approvisionnement de bout en bout. Ils pourraient ainsi inciter les PME avec lesquelles ils traitent à développer leur cyberrésilience en s’appuyant sur des ressources dédiées à la cybersécurité.
Bien que les normes internationales soient encore en développement ou en phase d’adoption, plusieurs solutions existent déjà afin d’accompagner les PME dans le processus de sécurisation de leurs systèmes informatiques; par exemple, le programme CyberSécuritaire Canada(5) mis en œuvre par le gouvernement fédéral donne accès aux PME à des ressources afin de mieux connaître et de comprendre les risques auxquels elles sont exposées. De plus, sous réserve de la mise en place de contrôles de sécurité spécifiques, elles peuvent obtenir une certification reflétant ses pratiques exemplaires en matière de cybersécurité
Les sous-traitants qui intègrent des politiques de cybersécurité lors de la conception même de ses produits et/ou systèmes sortent gagnants de cette démarche, qui profitera à l’ensemble de ses clients via une réduction des risques liés à la cybersécurité. Cette approche collaborative revêt ainsi un bénéfice mutuel pour l’ensemble des acteurs concernés et la cybersécurité de la chaîne d’approvisionnement sera d’autant mieux assurée que la collaboration entre les intervenants sera fructueuse.
Le maintien d’un bon niveau de cybersécurité de tous les acteurs de la chaîne d’approvisionnement devient un prérequis à son bon fonctionnement, mais cela requiert des efforts et des investissements à long terme et dont les bénéfices sont complexes à évaluer. Échanges d’informations et partages de bonnes pratiques entre clients et fournisseurs sont autant de moyens qui permettront aux organisations de prendre part à une réflexion plus globale afin d’augmenter leur cyberrésilience mutuelle. En investissant temps et efforts pour analyser et renforcer le niveau de cybersécurité de leur chaîne d’approvisionnement, les entreprises contribueront ainsi à générer de la valeur pour l’ensemble de leur écosystème.
(1) https://www.pwc.com/ca/fr/digital-trust-insights
(2) https://www.enisa.europa.eu/understanding-the-increase-in-supply-chain-security-attacks
(3) https://www150.statcan.gc.ca/n1/daily-quotidien/201020/dq201020a-fra.htm
(4) https://cyber.gc.ca/publications
(5) https://cybersecuritaire-canada/fr/exigences-certification