Skip to main content

Définir et déceler les cyberrisques dans votre chaîne d’approvisionnement numérique

Les cyberattaques contre les chaînes dʼapprovisionnement sont-elles inévitables? La mauvaise nouvelle : oui. La bonne nouvelle : bien qu’il ne soit pas possible d’empêcher toutes les cyberattaques contre une chaîne d’approvisionnement, les risques et les répercussions peuvent être gérés et réduits.

Pourquoi les pirates informatiques ciblent-ils les chaînes d’approvisionnement?

Une attaque contre une chaîne d’approvisionnement se produit lorsqu’un pirate informatique accède à vos données par l’intermédiaire de l’un de vos fournisseurs ou partenaires. Ces types d’attaques présentent pour les pirates informatiques d’énormes possibilités d’exploitation. Une attaque réussie contre un seul fournisseur peut fournir les données sensibles de nombreuses organisations.

700
organisations touchées par des compromissions de tiers/chaîne d’approvisionnement en 2020
42 millions
personnes touchées par des compromissions de tiers/chaîne d’approvisionnement en 2020
39 %
des dirigeants d’entreprise à l’échelle mondiale croient que les partenaires de la chaîne d’approvisionnement posent un risque élevé ou quelque peu élevé pour leur organisation
43 %
des dirigeants disent n’avoir aucune confiance en leur capacité à prévenir les cybermenaces de tiers

 

430 %
augmentation des attaques contre la chaîne d’approvisionnement des logiciels entre 2019 et 2020
 

Qu’est-ce qu’une chaîne d’approvisionnement numérique?

Une chaîne d’approvisionnement numérique peut être définie comme suit :

  1. Les aspects numériques d’une chaîne d’approvisionnement physique ou d’une chaîne d’approvisionnement classique alimentée par la technologie numérique.
  2. La chaîne des entreprises technologiques qui participent à la livraison de produits numériques.

Ces deux définitions se chevauchent, car presque toutes les chaînes d’approvisionnement peuvent être considérées comme numériques, et les fournisseurs tiers de technologies peuvent fournir la technologie utilisée dans la chaîne d’approvisionnement numérique.

Il est donc important de comprendre votre écosystème de fournisseurs et la façon dont ils soutiennent votre chaîne d’approvisionnement numérique. Savez-vous qui fournit les produits et services numériques sur lesquels votre entreprise compte? Ou tout produit ou service essentiel en la matière?

Lors de votre examen plus attentif de votre chaîne d’approvisionnement numérique, tenez compte des risques suivants :

  • Fournisseurs tiers – toute entité qui fournit des produits ou des services à votre organisation pour mener vos activités quotidiennes ou qui fournit des produits ou des services au nom de votre organisation (par exemple, des fournisseurs de technologies et des fournisseurs de composants ou de produits essentiels). Ces tiers peuvent poser un risque pour toutes les organisations, surtout ceux qui ont accès à des technologies ou à des données.
  • Fournisseurs externes – les fournisseurs de vos fournisseurs. Toutes les entreprises confient une partie de leurs activités à plusieurs fournisseurs. Ces fournisseurs confient à leur tour une partie de leurs activités à d’autres fournisseurs.

Plus votre écosystème est grand, plus votre surface d’attaque et les vulnérabilités potentielles sont grandes.

De nombreuses organisations ont de la difficulté à comprendre leur chaîne d’approvisionnement numérique complexe et la myriade de relations avec les fournisseurs qui soutiennent leurs activités, particulièrement ceux qui ont accès aux systèmes informatiques ou aux données. Quelle que soit sa définition, l’expansion de la chaîne d’approvisionnement numérique d’une entreprise augmente les cyberrisques.

Comment ça se passe?

Considérez les risques pour la chaîne d’approvisionnement numérique dans les scénarios suivants, dans lesquels une organisation :

Scénario

Risque

Incidence

Exemple

Utilise la technologie pour améliorer l’efficacité de sa chaîne d’approvisionnement physique (ou définition 1 de la chaîne d’approvisionnement numérique).

Qu’une perturbation technologique interrompe la chaîne d’approvisionnement.

Pertes d’exploitation indirectes, en plus des frais et coûts supplémentaires.

L’Internet des objets (IdO) est composé de logiciels malveillants, qui peuvent perturber une chaîne de fabrication.

Fait appel à des fournisseurs de technologies pour mener ses activités quotidiennes et est connectée technologiquement aux fournisseurs.

Qu’une perturbation technologique auprès du fournisseur tiers de technologies interrompe les activités de l’entreprise..

Pertes d’exploitation indirectes, en plus des frais et coûts supplémentaires.

Une panne chez un fournisseur de services infonuagiques cause une période d’arrêt du site Web et empêche l’exécution des commandes.

Se fie à des fournisseurs de technologies pour mener ses activités quotidiennes, et est technologiquement connectée aux fournisseurs.

Que la compromission des produits et services de l’entreprise technologique ait une incidence sur le réseau de l’entreprise..

Cyberincident potentiel, y compris une violation, une attaque de rançongiciel ou une interruption des activités, en plus des coûts connexes.

Une vulnérabilité logicielle laisse une porte ouverte aux attaques, ce qui permet d’installer des codes malveillants sur le réseau de l’entreprise.

Confie les renseignements confidentiels sur ses clients et employés à un fournisseur tiers, et n’est pas technologiquement connectée au fournisseur.

Violation des renseignements confidentiels de l’entreprise causés par le fournisseur tiers.

Incident touchant la confidentialité, et frais pour l’entreprise et le tiers.

Le fournisseur de services de paie subit une violation des renseignements sur les employés, ou les renseignements sur la fidélité des clients d’un fournisseur de technologie sont compromis.

Fait appel à un fournisseur tiers pour des produits ou services précis, et n’est pas technologiquement connectée au fournisseur.

Qu’une perturbation technologique subie par le fournisseur tiers ait une incidence sur la capacité de l’entreprise à générer des revenus.

Pertes d’exploitation indirectes, en plus des frais et coûts supplémentaires.

La perturbation du réseau plombe la capacité de l’entreprise à recevoir ses produits.

Que pouvez-vous faire?

Comme nous voyons de plus en plus d’attaques contre les fournisseurs de technologies importants et les chaînes d’approvisionnement numériques des organisations, il est plus important que jamais de définir ce qu’on entend par « chaîne d’approvisionnement numérique », comment ce terme est compris au sein de votre organisation et quels types de cyberrisques sont liés à vos fournisseurs tiers importants et à votre chaîne d’approvisionnement numérique.

Bien que les cyberattaques contre les chaînes d’approvisionnement ne puissent pas toutes être évitées, elles peuvent être repérées et gérées de manière à en réduire les répercussions. La résilience de la chaîne d’approvisionnement peut être obtenue en déterminant et en comprenant les risques et leurs répercussions potentielles, en planifiant la réponse aux attaques et en trouvant le juste équilibre entre l’atténuation et le transfert des risques.

Le groupe des cyberrisques de Marsh peut vous aider

La solide gamme d’offres de Marsh pour la chaîne d’approvisionnement comprend :

  • Élaboration du cadre de gestion des risques liés aux fournisseurs tiers
  • Surveillance des risques liés aux fournisseurs
  • Quantification des cyberrisques liés à la chaîne d’approvisionnement numérique
  • Intervention en cas d’incident et planification de la continuité des activités dans le cas des incidents causés par les fournisseurs
  • Services de gestion des cyberincidents, y compris le soutien aux réclamations et preuve de sinistre pour les cyberincidents contre la chaîne d’approvisionnement numérique
  • Services de courtage d’assurance conçus pour traiter les sinistres causés par les fournisseurs et à la chaîne d’approvisionnement numérique