Roland Heinesch, Senior Underwriter chez Liberty Specialty Markets, se penche sur l’entrelacement complexe de la chaîne d’approvisionnement et du cyber-risque, proposant des informations précieuses sur l’éventail des risques et les meilleures pratiques que les entreprises devraient adopter pour protéger leurs activités.
Dans le paysage numérique d’aujourd’hui, on ne saurait trop insister sur la complexité des chaînes d’approvisionnement modernes. Comme les entreprises s’appuient sur un nombre croissant de fournisseurs, distributeurs et partenaires pour proposer des services à leurs clients à l’échelle mondiale, l’interconnexion de ces chaînes a atteint des niveaux sans précédent.
Si ces réseaux étendus ont incontestablement facilité le commerce mondial et la fluidité des opérations commerciales, ils ont aussi augmenté la vulnérabilité des chaînes d’approvisionnement aux interruptions potentielles, ce qui en fait des cibles de choix pour les cybercriminels. L’année dernière, les perturbations liées à la chaîne d’approvisionnement ont entraîné des pertes annuelles moyennes de 82 millions de dollars[1] par entreprise dans des secteurs clés, ce qui souligne l’ampleur du problème.
Plus que jamais, il est essentiel de reconnaître que les vulnérabilités de la chaîne d’approvisionnement sont désormais intimement liées aux cybermenaces, ce qui marque un changement important dans la manière dont les assureurs et les clients abordent la sécurité de nos réseaux d’entreprises interconnectés.
Compréhension du paysage numérique
Les systèmes d’inventaire automatisés, les plateformes de collaboration basées sur le cloud et les appareils de l’Internet des objets (IoT), par exemple, sont profondément ancrés dans les portefeuilles d’activités. S’ils ont optimisé les opérations et amélioré l’efficacité, ils ont également introduit de nouveaux risques et vulnérabilités. Chaque composant, même le plus insignifiant en apparence, peut devenir un point faible potentiel exploité par des cybercriminels. La nature distribuée des chaînes d’approvisionnement complique encore une surveillance efficace, ce qui rend difficile l’identification rapide des vulnérabilités et menaces.
Dans ce contexte, les cybermenaces, qui vont des attaques par hameçonnage à l’espionnage industriel, représentent un risque important pour la confidentialité, la disponibilité et l’intégrité des données. Bien que la nature précise de la cybermenace puisse varier d’un bout à l’autre de la chaîne d’approvisionnement, les violations de données et les rançongiciels sont de plus en plus fréquents, empêchant les fournisseurs de répondre aux exigences et entravant les opérations commerciales. Réciproquement, des failles de sécurité chez vos fournisseurs peuvent révéler des vulnérabilités dans vos propres systèmes, ce qui peut entraîner des attaques directes sur vos propres données.
Même pour les grandes entreprises qui sont par ailleurs bien équipées pour se protéger contre les cybermenaces, les stratégies de gestion des risques les plus complètes d’aujourd’hui doivent s’étendre bien au-delà des murs numériques de l’organisation. Souvent, les pirates exploitent le maillon le plus faible de la chaîne d’approvisionnement, en ciblant des entités plus petites ayant un accès indirect aux réseaux et en s’appuyant sur des stratégies de porte dérobée qui exploitent la complexité inhérente au réseau de la chaîne d’approvisionnement. Qu’il s’agisse de fournisseurs de services de paie externalisés, de consultants d’entreprises ou d’autres fournisseurs ayant accès aux données les plus sensibles des clients, une seule violation peut créer un effet domino et entraîner des perturbations à grande échelle. De même, un fournisseur peut fournir un produit ou un service vital pour l’activité de l’entreprise. S’il ne fonctionne pas, cela peut paralyser l’organisation qui en dépend.
L’affaire SolarWinds est un exemple bien connu d’attaque ciblée de la chaîne d’approvisionnement en logiciels par un assaillant sophistiqué. En 2020, l’auteur de l’attaque a utilisé un logiciel corrompu pour créer une porte dérobée vers les systèmes ciblés. Bien qu’une vulnérabilité du logiciel Orion, représentant un point de défaillance unique, ait permis à l’attaque de devenir un événement systémique généralisé avec des répercussions sur près de 20 000 organisations, elle n’a pas entraîné de lourdes pertes pour le marché de l’assurance parce que la motivation de l’attaque était l’espionnage plutôt que la destruction. L’incident a permis au marché de tirer plusieurs enseignements importants, notamment l’impact considérable des attaques de la chaîne d’approvisionnement, le facteur essentiel que constituent les motivations des auteurs des attaques et la menace durable et évolutive que représentent les attaques sophistiquées de la chaîne d’approvisionnement logicielle.
L’affaire SolarWinds offre des enseignements inestimables aux acteurs de la cybersécurité, en mettant en évidence les défis multidimensionnels et la nature évolutive des cybermenaces. Ce type d’événement modifie la façon dont les assureurs modélisent les pertes, en intégrant des données relatives à la dépendance technologique et des techniques d’analyse des réseaux externes afin d’identifier les vulnérabilités des réseaux des entreprises et d’anticiper les cibles potentielles susceptibles d’être exploitées dans le domaine de la chaîne d’approvisionnement.
Atténuation des risques
Comme le souligne l’affaire SolarWinds, la première étape de l’atténuation du cyber-risque passe par la prévention et l’expérience en matière d’identification des lacunes dans l’état actuel de maturité de la cybersécurité. Bien qu’il soit difficile de garantir une protection totale, il existe des mesures préventives éprouvées, telles qu’une stratégie solide de gestion des identités et accès, afin de favoriser une résilience et une sécurité accrues. De même, la formalisation d’un plan de gestion du cyber-risque de la chaîne d’approvisionnement (C-SCRM) est une stratégie fondamentale qui facilite la gouvernance, les procédures, les politiques, les outils et les processus essentiels à la protection de la chaîne d’approvisionnement.
Il est tout aussi essentiel de se préparer à un incident. Les entreprises doivent partir du principe qu’un incident se produira. La question n’est pas de savoir si, mais quand. Les plans de poursuite des activités jouent un rôle central dans la reprise après un incident, en soulignant la nécessité de tests fréquents. Il est primordial d’aligner ces plans sur les programmes d’assurance. Certains assureurs offrent une certaine souplesse dans le choix des distributeurs, ce qui souligne l’importance d’une préparation en amont plutôt que d’une réponse a posteriori.
Il est essentiel de reconnaître le rôle critique des fournisseurs et distributeurs. Comprendre leur rôle, évaluer leur accès aux données sensibles et les impliquer dans les activités de cyber-résilience, de réponse aux incidents et de reprise après sinistre constitue la base d’une stratégie solide. Un contrôle et une évaluation continus, associés à des canaux de communication transparents, garantissent que les contrôles utilisés par les fournisseurs sont conformes aux exigences de sécurité de l’organisation. L’intégration des questions de cybersécurité à chaque phase de la chaîne d’approvisionnement, de la sélection des distributeurs à la livraison des produits, permet d’adopter une attitude proactive face aux menaces potentielles.
Au-delà de ces mesures proactives, les entreprises doivent rester vigilantes dans un contexte plus large. La complexité des interconnexions, la mondialisation et les pressions réglementaires nécessitent une évaluation constante des pratiques de sécurité.
En fin de compte, le cyber-risque au sein des chaînes d’approvisionnement exige une approche multidimensionnelle. Les assureurs, en tirant parti de leur expertise mondiale et de leurs données sur les sinistres, jouent un rôle essentiel pour aider les clients à se protéger. En partageant des informations précieuses et en améliorant constamment leurs offres de services, les assureurs permettent aux entreprises de mieux comprendre et d’atténuer les cyber-risques. L’analyse comparative de risques similaires dans différents secteurs d’activité fournit des informations précieuses aux clients et leur permet d’améliorer leurs stratégies en matière de cybersécurité.
Dans ce paysage en constante évolution, où les risques peuvent se dissimuler derrière le pare-feu d’un distributeur ou dans une simple ligne de code, une vigilance proactive, une collaboration et un engagement envers une approche commune de la cybersécurité sont indispensables.
[1] https://www.interos.ai/press/interos-annual-supply-chain-report-unveils-37m-benefit-to-organizations-taking-swift-action-on-supply-chain-disruption/