Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Composée d’une multitude d’acteurs aux niveaux de maturité très variables, la supply chain industrielle est devenue une cible privilégiée des cybercriminels. Alors que 98 % des organisations entretiennent des relations avec des tiers ayant subi une atteinte à la sécurité, la sécurisation de cet écosystème devient un enjeu critique. De la collaboration entre services à l’adoption du modèle Zero Trust, les experts appellent à une transformation profonde des pratiques.
Composée de très nombreux maillons (fournisseurs, partenaires, intégrateurs…), la supply chain industrielle et sa sécurisation présentent de multiples spécificités. « Du design à la livraison finale du produit, il faut prendre en compte chaque étape de la chaîne d’approvisionnement. Dans l’aviation, il existe trois types d’acteurs : ceux spécifiques à l’aéronautique et soumis aux règlementations de type PART-IS de l’EASA (Agence de l’Union européenne pour la sécurité aérienne), ceux spécifiques à l’aéronautique mais non régulés, et ceux qui ne sont pas spécifiques à l’aéronautique, mais qui y participent à travers leurs services notamment », déclare Élise Babelaere, Coordinateur sûreté de la supply chain chez Airbus, qui s’exprimait lors d’une table ronde du Forum InCyber à Lille, en mars dernier. Pour Lucile Coupez, en charge de la gouvernance sécurité groupe et de la gestion des risques des tiers chez EssilorLuxottica, la « supply chain » a beaucoup évolué ces dernières années. « Ce terme signifiait auparavant une chaîne d’acteurs allant de la fabrication à la livraison, en passant par le client final, avec des enjeux de robustesse et de conformité. Aujourd’hui, l’enjeu est d’identifier et de réduire les risques provenant d’un écosystème tiers très complexe (troisièmes, quatrièmes parties et plus), agissant sur nos données ou nos systèmes. En raison de l’évolution des menaces et de l’interconnexion des systèmes, il n’y pas plus de limites de périmètre. C’est pourquoi ce sujet est géré dans les instances de gouvernance du Groupe », détaille-t-elle.
Une sécurité cinq fois plus insuffisante chez les prestataires tiers
Mais selon une étude menée en 2023 par SecurityScorecard et le cabinet Cyentia Institute, 98% des organisations dans le monde entretiennent des relations de prestation avec au moins un tiers ayant subi une atteinte à la sécurité au cours des deux dernières années, L’étude précise également que 50% des organisations ont des relations indirectes avec au moins 200 prestataires dits de « quatrième partie » (tiers de tiers) concernés par une violation de sécurité au cours des deux dernières années. Le rapport met par ailleurs en avant que, pour chaque prestataire tiers dans leur chaîne d’approvisionnement, les organisations entretiennent des relations indirectes avec 60 à 90 fois plus de quatrièmes parties. Qui plus est, l’étude montre que – comparés à la maison mère – les prestataires tiers présentent cinq fois plus souvent une sécurité insuffisante. « La surface de vulnérabilité d’une organisation va au-delà de la technologie qu’elle possède ou contrôle. Les organisations ont besoin d’être renseignées sur le niveau de sécurité de leur écosystème de prestataires tiers et quarts afin de savoir en un instant si telle ou telle organisation mérite leur confiance et in fine de pouvoir prendre des mesures préventives pour en minimiser le risque », analyse Aleksandr Yampolskiy, Cofondateur et PDG de SecurityScorecard.
Un attrait toujours plus vif de la part des cybercriminels
Les raisons pour lesquelles la supply chain suscite autant d’intérêt de la part des cybercriminels sont très nombreuses. « Le cycle de vie et l’usage des technologies étant plus lent et moins agile par rapport aux transformations technologiques, la surface d’attaque est plus facile à aborder, d’autant que les dernières avancées technologiques permettent une prise de vitesse sans précédent », avance Lucile Coupez. Un avis que partage Raymond Bierens, Chairman of the Board de la Connect2trust Foundation : « L’utilisation de l’intelligence artificielle par les acteurs malveillants a accru le besoin de contrôler l’environnement technologique IT, OT et IoT pour permettre l’automatisation à des fins défensives. Il est plus probable que cela se produise dans les grandes organisations que chez les fournisseurs, même si les grandes organisations restent tout aussi vulnérables. La probabilité de succès avec le même effet est donc plus grande chez les fournisseurs », note-t-il. « La cybersécurité n’est pas vue comme une priorité, notamment pour certaines PME/TPE qui ont d’autres challenges à relever que la sécurité informatique. Disposant pour certaines de moins de ressources et de moins de sensibilisation, elles se retrouvent à des niveaux de sécurité inférieurs, devenant par la même occasion plus vulnérables », complète Élise Babelaere.
Quelles bonnes pratiques et démarches engager pour sécuriser la supply chain ?
Pour sécuriser la supply chain industrielle, une véritable collaboration entre les différents départements doit se mettre en œuvre au sein de l’entreprise. « Sécuriser la supply chain est un travail collaboratif et étroit entre le département sûreté et celui des achats, ce dernier étant responsable de sa relation avec les fournisseurs. C’est un binôme complémentaire et essentiel pour renforcer la résilience de la supply chain. Par ailleurs, il est essentiel de déployer une approche de security by design dès les phases d’appel d’offres, chaque fournisseur devant apporter la preuve de son niveau de maturité avant sélection finale. Des exigences contractuelles spécifiques à la sûreté sont également nécessaires, ainsi que la mise en œuvre d’audits », commente Élise Babelaere. Samuel Braure, Regional cybersecurity manager chez Schneider Electric, ajoute de son côté : « La qualification et la priorisation des risques pour déterminer ce qu’il faut protéger et à quel endroit constituent une étape essentielle. Il s’agit également d’abandonner une posture de cybersécurité individuelle au profit d’une démarche collective, fondée sur une approche écosystémique. La cybersécurité doit par ailleurs être intégrée à chaque étape du cycle de vie des produits, avec une attention particulière portée à la sécurisation des opérations pour faire face aux menaces pesant sur la supply chain. Enfin, l’adoption de certifications internationales reconnues, comme l’IEC 62443, apparaît comme un levier majeur pour renforcer cette dynamique ».
Quant à Kathryn Wang, Principal, Public Sector chez Sandboxaq, les bonnes pratiques se résument selon elle aux différents points suivants : « L’approche ‘security-first’ impose que les fournisseurs démontrent leur hygiène de sécurité avant toute signature de contrat. La transparence devient également essentielle, à travers l’élaboration de documents tels que le SBOM (Software Bill of Materials) et le CBOM (Cryptographic Bill of Materials), permettant d’identifier précisément les composants logiciels et cryptographiques utilisés. Enfin, l’application stricte du modèle Zero Trust est indispensable : il faut partir du principe que la compromission est possible, tout vérifier systématiquement, et instaurer par défaut le principe du moindre privilège pour limiter les risques d’intrusion ».
