Qu'est-ce que la sécurité de la chaîne d'approvisionnement ?

Beaucoup d'entre nous, acteurs de la chaîne d'approvisionnement, se souviennent des principales violations de données subies par Target et Home Depot à quelques mois d'intervalle en raison de relations avec des tiers. Six ans plus tard, les failles de sécurité dans la chaîne d'approvisionnement continuent de faire les gros titres, notamment la faille SolarWinds qui a actuellement des répercussions dans l'ensemble du secteur. L'analyse la plus récente estime le coût moyen d'une violation de données à 3,86 millions d'USD, les méga violations (50 millions de fichiers ou plus volés) atteignant 392 millions d'USD. Compte tenu de la recrudescence des attaques contre la chaîne d'approvisionnement en 2020, on ne peut qu'imaginer l'impact de la mise à jour de l'analyse.

Alors, que faudra-t-il pour garantir la sécurité de la chaîne d'approvisionnement ?

Le défi réside en partie dans l’absence de définition fonctionnelle unique de la sécurité de la chaîne d’approvisionnement. Il s'agit d'un domaine extrêmement vaste qui englobe tout, des menaces physiques aux cybermenaces, de la protection des transactions à celle des systèmes, et de l'atténuation des risques avec les parties du réseau commercial immédiat à celle des risques découlant des relations avec les tiers, les partenaires et les autres parties. Cependant, il est de plus en plus admis que la sécurité de la chaîne d'approvisionnement nécessite une approche multiforme et coordonnée sur le plan fonctionnel.

Les responsables de la chaîne d'approvisionnement nous font part de leurs préoccupations concernant les cybermenaces. Dans cet article, nous allons donc nous concentrer sur les aspects liés à la cybersécurité afin de protéger la qualité et la livraison des produits et services, ainsi que les données, processus et systèmes associés.

« La sécurité de la chaîne d'approvisionnement est un problème multidisciplinaire qui nécessite une collaboration étroite et une exécution rigoureuse entre les services commerciaux, le service client et les services informatiques, ce qui présente ses propres défis. Les entreprises qui y parviennent commencent par mettre en place une infrastructure informatique et un réseau commercial multi-entreprises sécurisé, puis développent progressivement un accès soigneusement contrôlé et sécurisé à des capacités d'analyse et de visibilité. De là, elles surveillent en permanence chaque niveau afin de détecter tout comportement anormal. »

Marshall Lamb, directeur technique, IBM Sterling

Pourquoi la sécurité de la chaîne d'approvisionnement est-elle importante ?

Les chaînes d'approvisionnement ont pour objectif de fournir aux clients ce dont ils ont besoin, au bon prix, au bon endroit et au bon moment. Toute perturbation ou tout risque pouvant affecter l'intégrité des produits ou services fournis, la confidentialité des données échangées et l'exhaustivité des transactions associées peut avoir des conséquences néfastes sur le plan opérationnel, financier et en termes d'image de marque. Les violations de données, les attaques par ransomware et les activités malveillantes de la part d'initiés ou de pirates peuvent survenir à n'importe quel niveau de la chaîne d'approvisionnement. Même un incident de sécurité localisé chez un seul fournisseur ou un seul prestataire tiers peut perturber considérablement le processus de « planification, fabrication et livraison ».

« Une chaîne d’approvisionnement est aussi robuste que son entité la plus vulnérable. Le Cyber Resilience Center du port de Los Angeles aidera chaque membre participant de la chaîne d'approvisionnement à mieux se protéger et, par extension, à se protéger mutuellement. »

Wendi Whitmore, vice-présidente, IBM Security X-Force

Atténuer ce risque est un objectif en constante évolution et un défi de plus en plus difficile à relever. Les chaînes d'approvisionnement sont des réseaux mondiaux de plus en plus complexes, composés d'un nombre croissant de partenaires tiers qui ont besoin d'accéder aux données et d'avoir l'assurance de pouvoir contrôler qui les consulte. Aujourd'hui, les nouvelles tensions et contraintes qui pèsent sur le personnel et le budget, ainsi que les changements imprévus et rapides apportés à la stratégie, aux partenaires et à la composition de l'offre et de la demande, ajoutent à la complexité et à l'urgence. Dans le même temps, des clients et des employés plus avertis et plus soucieux de la société exigent de la transparence et de la visibilité sur les produits et services qu'ils achètent ou soutiennent. Chaque point de contact ajoute un élément de risque qui doit être évalué, géré et atténué.

Les 5 principales préoccupations en matière de sécurité de la chaîne d'approvisionnement

Les responsables de la chaîne d’approvisionnement du monde entier et de tous les secteurs nous font part des cinq préoccupations suivantes en matière de sécurité de la chaîne d’approvisionnement :

1. Protection des données. Les données sont au cœur des transactions commerciales et doivent être sécurisées et contrôlées, tant au repos qu'en transit, afin d'empêcher toute violation ou altération. La sécurité des échanges de données implique également de faire confiance à l'autre source, qu'il s'agisse d'un tiers ou d'un site web d'e-commerce. Il est essentiel d'avoir l'assurance que la partie avec laquelle vous interagissez est bien celle qu'elle prétend être.
2. Localité des données. Les données critiques existent à tous les niveaux de la chaîne d'approvisionnement et doivent être localisées, classées et protégées où qu'elles se trouvent. Dans les secteurs hautement réglementés tels que les services financiers et les soins de santé, les données de santé doivent être acquises, stockées, gérées, utilisées et échangées conformément aux normes des secteurs et aux mandats du gouvernement qui varient selon les régions dans lesquelles ils opèrent.
3. Visibilité et gouvernance des données. Les réseaux de multi-entreprises facilitent non seulement l'échange de données entre les entreprises, mais permettent également à plusieurs entreprises d'accéder aux données afin qu'elles puissent les consulter, les partager et collaborer. Les entreprises participantes exigent le contrôle des données et la possibilité de décider avec qui les partager et ce que chaque partie autorisée peut voir.
4. Prévention des fraudes. Au cours d'un cycle order-to-cash, les données changent de mains à plusieurs reprises, parfois sous forme papier, parfois sous forme électronique. Chaque point où les données sont échangées entre les parties ou transférées au sein des systèmes représente une opportunité de les altérer, que ce soit par malveillance ou par inadvertance.
5. Risques liés aux tiers. Les produits et services quotidiens, des téléphones portables aux automobiles, deviennent de plus en plus sophistiqués. En conséquence, les chaînes d’approvisionnement dépendent souvent de quatre niveaux ou plus de fournisseurs pour livrer les produits finis. Tous ces intervenants externes peuvent exposer les organisations à de nouveaux risques en fonction de leur capacité à gérer correctement leurs propres vulnérabilités.

Bonnes pratiques en matière de sécurité de la chaîne d’approvisionnement

La sécurité de la chaîne d'approvisionnement nécessite une approche à multiples facettes. Il n'existe pas de solution miracle, mais les organisations peuvent protéger leurs chaînes d'approvisionnement en combinant plusieurs niveaux de défense. En rendant plus difficile pour les acteurs malveillants de contourner les contrôles de sécurité, les équipes chargées de la sécurité de la chaîne d'approvisionnement gagnent du temps pour détecter les activités malveillantes et prendre les mesures qui s'imposent. Voici quelques-unes des stratégies les plus importantes mises en œuvre par les organisations pour gérer et atténuer les risques liés à la sécurité de la chaîne d'approvisionnement.

• Évaluations de la stratégie de sécurité. Pour évaluer les risques et la conformité, il est nécessaire d'analyser la gouvernance de sécurité existante, notamment la confidentialité des données, les risques liés aux tiers et les besoins et lacunes en matière de conformité réglementaire informatique, par rapport aux défis, aux exigences et aux objectifs de l'entreprise. La quantification des risques de sécurité, l'élaboration de programmes de sécurité, la conformité aux réglementations et aux normes, ainsi que la formation et l'éducation en matière de sécurité sont des éléments essentiels.
• Atténuation des vulnérabilités et tests d’intrusion. Identifiez d'abord les problèmes de sécurité fondamentaux en effectuant des analyses de vulnérabilité. La correction des mauvaises configurations de bases de données, des politiques de mot de passe inadéquates, la suppression des mots de passe par défaut et la sécurisation des terminaux et des réseaux peuvent réduire immédiatement les risques avec un impact minimal sur la productivité ou les temps d'arrêt. Faites appel à des spécialistes des tests d'intrusion pour tenter de trouver des vulnérabilités dans tous les aspects des applications nouvelles et anciennes, de l'infrastructure informatique sous-jacente à la chaîne d'approvisionnement et même des personnes, grâce à des simulations d'hameçonnage et à des exercices de red teaming.
• Numérisation et modernisation. Il est difficile de sécuriser les données lorsque l'on dépend du papier, du téléphone, du fax et des e-mails pour les transactions commerciales. La numérisation des processus manuels essentiels est donc primordiale. Les solutions technologiques qui facilitent la transition depuis les processus manuels basés sur le papier et qui apportent sécurité, fiabilité et gouvernance aux transactions constituent la base d'un transfert sécurisé des données au sein de l'entreprise et avec les clients et partenaires commerciaux. À mesure que vous modernisez vos processus métier et vos logiciels, vous pouvez tirer parti du chiffrement, de la tokenisation, de la prévention des pertes de données, de la surveillance et de l'alerte d'accès aux fichiers, et sensibiliser vos équipes et vos partenaires à la sécurité grâce à des formations.
• Identification et chiffrement des données. Les programmes et politiques de protection des données doivent inclure l'utilisation d'outils de recherche et de classification afin d'identifier les bases de données et les fichiers contenant des informations protégées sur les clients, des données financières et des documents confidentiels. Une fois les données localisées, l'utilisation des dernières normes et politiques de chiffrement permet de protéger tous les types de données, qu'elles soient au repos ou en transit : données clients, financières, commandes, stocks, Internet des objets (IdO), santé, etc. Les connexions entrantes sont validées et le contenu des fichiers est examiné en temps réel. Les signatures numériques, l'authentification multifactorielle et les interruptions de session offrent des contrôles supplémentaires lors des transactions sur Internet.
• Contrôles autorisés pour l'échange de données et la visibilité. Les réseaux multi-entreprises garantissent un échange d'informations sécurisé et fiable entre partenaires stratégiques grâce à des outils d'accès basés sur les utilisateurs et les rôles. Les pratiques de sécurité en matière de gestion des identités et des accès sont essentielles pour partager en toute sécurité des données propriétaires et sensibles au sein d'un vaste écosystème, tandis que l'identification et l'atténuation des vulnérabilités réduisent le risque d'accès inappropriés et de violations. La surveillance de l'activité des bases de données, la surveillance des utilisateurs privilégiés et les alertes offrent une visibilité permettant de détecter rapidement les problèmes. L'ajout de la technologie blockchain à un réseau multi-entreprises offre à toutes les parties une visibilité sur un registre partagé, immuable et autorisé, qui renforce la confiance tout au long de la chaîne de valeur.
• Confiance, transparence et provenance. Avec une plateforme blockchain, une fois que les données sont ajoutées au registre, elles ne peuvent être ni manipulées, ni modifiées, ni supprimées, ce qui contribue à prévenir la fraude, à authentifier la provenance et à contrôler la qualité des produits. Les participants issus de plusieurs entreprises peuvent suivre les matériaux et les produits depuis leur source jusqu'au client ou consommateur final. Toutes les données sont stockées dans des registres blockchain, protégées par le plus haut niveau de chiffrement anti-falsification disponible sur le marché.
• Gestion des risques liés aux tiers. À mesure que les interactions et les interdépendances entre les entreprises et les tiers se développent dans l'écosystème de la chaîne d'approvisionnement, les organisations doivent élargir leur définition de la gestion des risques fournisseurs afin d'y inclure la sécurité de bout en bout. permet aux entreprises d'évaluer, d'améliorer, de surveiller et de gérer les risques tout au long de la relation. Commencez par réunir vos équipes commerciales et techniques avec vos partenaires et fournisseurs afin d'identifier les actifs critiques et les dommages potentiels pour les activités commerciales en cas de violation de la conformité, d'arrêt du système ou de violation des données rendue publique.
• Planification et orchestration de la réponse aux incidents. Il est essentiel de se préparer de manière proactive à une violation, une panne ou une perturbation, et de mettre en place un plan d'intervention efficace en cas d'incident. Des mesures d'intervention et de remédiation éprouvées, testées et faciles à mettre en œuvre permettent d'éviter les pertes de revenus, l'atteinte à la réputation et la perte de partenaires et de clients. Les renseignements et les plans fournissent des indicateurs et des enseignements que votre entreprise et vos partenaires peuvent utiliser pour prendre des décisions visant à empêcher que des attaques ou des incidents ne se reproduisent.

La sécurité de la chaîne d'approvisionnement continuera à s'améliorer. À titre d'exemple, certaines solutions commencent à intégrer l'intelligence artificielle afin de détecter de manière proactive les comportements suspects en identifiant les anomalies, les schémas et les tendances qui suggèrent un accès non autorisé. Les solutions basées sur l'intelligence artificielle peuvent envoyer des alertes pour une intervention humaine ou bloquer automatiquement les tentatives.

Comment les entreprises assurent-elles aujourd’hui la sécurité de la chaîne d’approvisionnement ?

IBM Sterling Supply Chain Business Network a établi un nouveau record en matière de transactions commerciales sécurisées en septembre de cette année, soit une augmentation de 29 % par rapport à septembre 2019, et aide les clients du monde entier à reconstruire leurs activités de manière sûre et fiable en dépit de la pandémie mondiale.

Le fournisseur international de services de transfert d'argent Western Union a réalisé plus de 800 000 millions de transactions en 2018 pour des clients particuliers et professionnels de manière rapide, fiable et sécurisée grâce à une infrastructure de transfert de fichiers fiable.

Le détaillant de mode Eileen Fisher a utilisé une plateforme de traitement des commandes omnicanale intelligente pour créer un stock unique pour tous les canaux, ce qui a permis d'améliorer la fiabilité des données de stock, d'assouplir le traitement des commandes et de réduire les coûts d'acquisition de clients.

L'écosystème blockchain Farmer Connect relie de manière transparente les producteurs de café aux consommateurs qu'ils servent, grâce à une plateforme blockchain qui intègre la sécurité du réseau et des données afin de renforcer la confiance, la sécurité et la traçabilité.

Le prestataire de services financiers Rosenthal & Rosenthal a remplacé ses multiples approches en matière de services d'échange de données informatisé (EDI) par un réseau commercial multi-entreprises sécurisé basé sur le cloud, réduisant ainsi ses coûts opérationnels tout en offrant un service réactif et de haute qualité à chaque client.

Le prestataire logistique intégré VLI respecte une multitude de réglementations gouvernementales en matière de conformité et de sécurité, et permet à ses 9 000 employés d'accéder aux systèmes appropriés au moment opportun pour accomplir leurs tâches, grâce à une suite intégrée de solutions de sécurité qui protège son activité et ses actifs et gère l'accès des utilisateurs.

L'un des ports maritimes les plus actifs au monde, le port de Los Angeles, est en train de construire un centre de cyber-résilience unique en son genre, doté d'une suite de solutions de sécurité visant à renforcer la sensibilisation et la préparation de son écosystème logistique afin de répondre aux cybermenaces susceptibles de perturber le flux de marchandises.

Solutions pour sécuriser votre chaîne d’approvisionnement

Assurez la sécurité de vos données les plus sensibles, rendez-les visibles uniquement aux personnes en qui vous avez confiance, rendez-les immuables pour prévenir la fraude et protégez-les contre les risques liés aux tiers. Laissez IBM vous aider à protéger votre chaîne d'approvisionnement grâce à une sécurité éprouvée qui fonctionne quelle que soit votre approche de mise en œuvre : sur site, dans le cloud ou hybride.