Quand une cyberattaque vide les rayons : que faire face aux attaques de la chaîne d'approvisionnement ?

Les consommateurs perçoivent souvent la plupart des cyberattaques comme des incidents qui n'arrivent qu'aux autres, jusqu'à ce qu'ils soient directement touchés. Le vol d'adresses e-mail et d'autres informations personnelles est devenu un phénomène courant et banal, mais lorsqu'un criminel appuie sur un bouton à l'autre bout du monde et que des produits alimentaires disparaissent des rayons, la situation devient soudain réelle.

C'est ce qui s'est produit en juin, lorsqu'une attaque contre le distributeur en gros de produits d'épicerie United Natural Foods (UNFI) a paralysé ses activités en ligne. L'attaque a entravé la capacité de l'entreprise à servir ses 30,000 XNUMX points de vente, laissant les épiceries sans électricité. avertir les clients des pénuries alimentaires et provoquant des perturbations importantes chez Whole Foods, propriété d'Amazon, notamment la fermeture des stands de sandwichs.

De telles attaques mettent en évidence les dommages qu'un cyberincident peut causer aux opérations au-delà d'une seule entreprise. Ces perturbations peuvent affecter d'autres entreprises qui en dépendent pour leurs propres chaînes d'approvisionnement, et soulèvent la question suivante : que peuvent faire les organisations pour se protéger ?

Le cyber-risque de la chaîne d'approvisionnement atteint des proportions critiques

Ce n'est pas la première attaque que nous voyons perturber les chaînes d'approvisionnement. La compagnie d'assurance Cowbell a publié un rapport à la fin de l'année dernière, montrant une augmentation de 431 % des attaques de la chaîne d'approvisionnement depuis 2021.

Selon le rapport, ces attaques deviennent de plus en plus courantes à mesure que les opérations commerciales deviennent de plus en plus connectées et que les chaînes d’approvisionnement deviennent plus complexes, car cela les rend plus difficiles à sécuriser.

L'un des plus grands défis auxquels sont confrontées les organisations est le problème du point de défaillance unique : une entreprise unique sur laquelle de nombreuses autres s'appuient pour leurs produits et services constitue une cible de grande valeur. La compromettre amplifie les effets d'une attaque unique.

Les perturbations causées par des attaques visant la chaîne d'approvisionnement peuvent être purement numériques. La compromission du logiciel SolarWinds en 2020 a rendu des centaines de systèmes chez les clients de l'entreprise vulnérables au vol d'informations. L'exploitation d'une vulnérabilité dans la version sur site du système de partage de fichiers MOVEit en 2023 a permis à des attaquants de dérober des fichiers à des centaines de clients. Ces deux attaques présentaient la même caractéristique sous-jacente : des toxines présentes dans un produit numérique (l'une introduite intentionnellement, l'autre accidentellement codée) ont affecté des milliers de clients en aval.

D'autres cyberattaques, comme celle de l'UNFI, entraînent des problèmes physiques. Elles mettent en évidence la fragilité des chaînes d'approvisionnement modernes en flux tendu, ce qui en fait non seulement une menace pour les données clients, mais aussi un risque sociétal.

Parmi les incidents notables qui ont affecté les chaînes d'approvisionnement physiques, on peut citer l'attaque de 2021 contre le pipeline Colonial. Bien que cette attaque ait visé le réseau administratif de l'entreprise, celle-ci a fermé ses installations de livraison d'essence par mesure de précaution, créant des pénuries qui ont touché des millions de personnes.

La même année, une attaque par rançongiciel contre le fournisseur de logiciels de gestion à distance Kaseya a touché des clients fournissant des services informatiques gérés. Cette attaque a eu des répercussions sur des clients, notamment la chaîne d'épicerie suédoise Coop, qui a dû fermer 800 magasins. Ces attaques étaient toujours numériques, mais leurs conséquences ont été cinétiques : au lieu de voir leurs données exposées, les utilisateurs n'ont plus pu conduire ni manger.

Cela nécessite une réponse du conseil d'administration

Les risques liés à la chaîne d'approvisionnement imposent de nouveaux impératifs de gouvernance aux conseils d'administration, notamment à l'heure où les régulateurs commencent à insister sur ce sujet. Par exemple, Loi sur la résilience opérationnelle numérique de l'UE (DORA) impose plusieurs exigences aux sociétés de services financiers. Elle impose des exigences strictes de diligence raisonnable lors de la collaboration avec des fournisseurs de technologies et de services, ainsi que des exigences minimales de sécurité dans les contrats. Les accords avec les fournisseurs doivent également prévoir des obligations d'évaluation continue, qui imposent des évaluations périodiques de la cybersécurité des fournisseurs.

Directive sur la sécurité des réseaux et de l'information 2 La directive (NIS2) impose également des exigences de sécurité plus strictes pour les chaînes d’approvisionnement.

Selon Gartner, les professionnels de la chaîne d'approvisionnement considéreront de plus en plus le risque de cybersécurité comme un facteur majeur lors de leurs interactions avec des partenaires tiers. attend 60% d’entre eux le feront cette année.

Ces préoccupations font de la gestion des risques fournisseurs un élément crucial de toute stratégie de résilience de la chaîne d'approvisionnement. Une diligence raisonnable efficace implique de vérifier que les fournisseurs ont mis en place des mesures de sécurité. Les entreprises qui n'ont pas imposé de diligence raisonnable feraient bien d'évaluer tous leurs fournisseurs, idéalement en vérifiant leur accréditation aux cadres ou normes de cybersécurité pertinents. Ces normes peuvent être spécifiques à leur secteur d'activité.

Même après tout cela, des attaques peuvent encore se produire. Conserver les fournisseurs qui répondent aux critères d'évaluation sur une liste de fournisseurs privilégiés contribuera à minimiser le risque de perturbation de votre chaîne d'approvisionnement suite à une compromission ; toutefois, cela ne l'éliminera pas complètement. C'est pourquoi il est important de se préparer aux perturbations potentielles.

Ne vous contentez pas de prévenir, adaptez-vous

Selon le type de compromission, un plan de gestion des attaques de la chaîne d'approvisionnement peut se concentrer uniquement sur la logistique et les opérations, ou inclure la reprise d'activité numérique. Si un fournisseur de produits alimentaires tombe en panne suite à une compromission de son système, son problème numérique devient le problème physique de ses clients. Les fournisseurs en aval doivent alors se concentrer sur la continuité de l'approvisionnement de leurs produits.

À l'inverse, si votre fournisseur de gestion réseau télécharge accidentellement un logiciel malveillant sur l'un de vos serveurs, son problème numérique devient votre problème numérique. Cela nécessite une réponse différente.

Les normes ISO couvrent la préparation à ces scénarios. Par exemple, la norme ISO 22301 traite de la continuité des activités face aux risques liés à la chaîne d'approvisionnement. ISO 27001 Contient des contrôles pour vous aider à gérer les risques liés aux informations susceptibles de vous affecter en cas de compromission de la chaîne d'approvisionnement. La norme ISO 28000 traite de l'amélioration de la sécurité de la chaîne d'approvisionnement.

Gérer ce risque complexe et multiforme de la chaîne d'approvisionnement implique de mettre en place autant de contrôles préventifs que possible pour se protéger en choisissant des fournisseurs diligents. Mais cela implique également de s'adapter aux problèmes émergents plutôt que de se fier à leur prévention.