Naviguer dans les complexités de la sécurité des informations de la chaîne d'approvisionnement : informations issues du SMSI. rapport en ligne sur l'état de la sécurité de l'information

Fin 2022, il nous a été demandé de lister les les principales tendances cyber que nous nous attendions à voir faire la une des journaux en 2023, et nous avons signalé la chaîne d'approvisionnement. Et, mon garçon, avions-nous raison ! Au cours des trois derniers mois, la sécurité de la chaîne d’approvisionnement a été placée sous le feu des projecteurs et pour toutes les mauvaises raisons.

En mars, le géant de l'externalisation informatique Capita a subi une violation de ransomware, impactant de nombreux clients gouvernementaux et du secteur privé, notamment Royal Mail, Axa et USS, l'un des plus grands fonds de pension du Royaume-Uni. Alors que le Le vice-Premier ministre britannique, Oliver Dowden, a mis en garde contre le risque pour les chaînes d'approvisionnement des infrastructures nationales critiques et a émis un avertissement formel aux entreprises concernant les attaques imminentes émanant d'acteurs imprévisibles.

Plus récemment, de grandes marques, dont BA, Boots et BBC, ont été prises au dépourvu par une violation de données personnelles et financières affectant le personnel et les clients. Le coupable? Un bug dans un outil de transfert de fichiers appelé MOVEit, utilisé par leur fournisseur de paie, Zellis.

Les défis auxquels est confrontée la sécurité de la chaîne d’approvisionnement

Alors, pourquoi la sécurité de la chaîne d’approvisionnement semble-t-elle si difficile à maîtriser pour les organisations ? L’un des défis majeurs est la complexité et l’interdépendance croissantes des chaînes d’approvisionnement mondiales. Les organisations ont souvent une visibilité et un contrôle limités sur leur réseau étendu, ce qui rend difficile la garantie de la sécurité des données et des systèmes hors de leur portée immédiate.

En outre, la sécurité des informations de la chaîne d'approvisionnement est confrontée à des vulnérabilités telles que des pratiques de sécurité inadéquates de la part des fournisseurs, des mécanismes d'authentification faibles, des logiciels obsolètes et même des perturbations potentielles de la chaîne d'approvisionnement causées par des catastrophes naturelles ou des événements géopolitiques.

L’impact d’une rupture de la chaîne d’approvisionnement peut être grave et de grande envergure. Non seulement cela peut entraîner des pertes financières, des atteintes à la réputation et des conséquences juridiques, mais cela peut également perturber les opérations et compromettre la confiance des clients et des parties prenantes. La nature interconnectée des chaînes d’approvisionnement signifie qu’une violation dans une organisation peut avoir des effets en cascade sur plusieurs entités de la chaîne, amplifiant ainsi les dommages potentiels.

Ce que nous dit le rapport sur l’état de la sécurité de l’information sur la sécurité de la chaîne d’approvisionnement

Malgré les risques bien documentés et la multiplication des gros titres, de nombreuses entreprises perdent encore de vue leurs chaînes d’approvisionnement. En fait, selon notre Rapport sur l'état de la sécurité de l'information 2023, Seulement 30 % des organisations pensaient avoir des difficultés à gérer leur chaîne d'approvisionnement, mais plus de 57 % d'entre elles ont admis avoir subi au moins un cyber-incident suite à une compromission de la chaîne d'approvisionnement au cours des 12 derniers mois, et nombre d'entre elles ont admis avoir eu plus d'un incident.

D'où vient cette déconnexion ? Le Le NCSC a récemment mené ses propres recherches et a constaté qu'« un peu plus d'une entreprise sur dix examine les risques posés par ses fournisseurs immédiats (13 %), et la proportion pour l'ensemble de la chaîne d'approvisionnement est la moitié de ce chiffre (7 %) ».

Ainsi, même si de nombreuses organisations comprennent que leur chaîne d’approvisionnement devrait être un sujet de préoccupation, il reste :

• manque d'investissement pour se prémunir contre ce risque cyber
• visibilité limitée sur les chaînes d’approvisionnement
• outils et expertise insuffisants pour évaluer la cybersécurité des fournisseurs

manque de clarté sur ce que vous devriez demander à vos fournisseurs de faire

Ces problèmes exposent les chaînes d’approvisionnement et les exposent au risque d’exploitation par les cybercriminels.

Défis réglementaires et sécurité de la chaîne d’approvisionnement

Au cours des 12 derniers mois, près des deux tiers (60 %) des entreprises britanniques ont reçu une amende en raison de violations de données ou de violations de la réglementation. Le montant moyen des amendes payées s'élevait à près de 250,000 XNUMX £.

Les amendes les plus courantes pour violation de données allaient de 50,000 100,000 £ à 21 100,000 £ (250,000 %), suivies de 17.5 21 £ à 250,000 500,000 £ (1,000,000 %). Près de XNUMX % des personnes interrogées ont reçu des amendes supérieures à XNUMX XNUMX £, et un peu moins de la moitié admettant avoir reçu une amende allant de XNUMX XNUMX £ à XNUMX XNUMX XNUMX £.

Parmi ces amendes, un nombre alarmant de 42 % étaient dues directement ou indirectement à une violation de données ou à un incident incluant un aspect de compromission de la chaîne d'approvisionnement ou d'un fournisseur tiers. Mettez en évidence à quel point la gestion des fournisseurs fait partie intégrante de la sécurité des informations et de la conformité réglementaire d'une organisation.

Principales tendances ayant un impact sur la sécurité de la chaîne d'approvisionnement

L’un des principaux enseignements du rapport sur l’état de la sécurité de l’information est la sophistication croissante des cyberattaques ciblant les chaînes d’approvisionnement. Les cybercriminels recourent à des menaces persistantes avancées (APT), qui sont des attaques furtives et hautement ciblées visant à compromettre l'intégrité de la chaîne d'approvisionnement. Ces attaques peuvent rester indétectables pendant de longues périodes, permettant aux acteurs malveillants d'accéder sans autorisation à des données sensibles ou même de manipuler ou de prendre le contrôle de systèmes critiques.

Une fois dans le système, les attaquants exigent souvent une rançon pour accéder à nouveau à ces systèmes critiques ou menacent de divulguer des données sensibles s'ils ne sont pas payés. Près de 25 % des organisations interrogées dans notre enquête ont été soumises à une rançon au cours des 12 derniers mois, et 25 % supplémentaires ont également signalé avoir subi une intrusion dans leur réseau au cours de la même période.

En outre, le rapport met en lumière la prévalence croissante des attaques de compromission de la chaîne d'approvisionnement, puisque 19 % des personnes interrogées déclarent avoir été touchées de cette manière au cours des 12 derniers mois. Dans ces scénarios, les attaquants exploitent les vulnérabilités d’un ou plusieurs composants de la chaîne d’approvisionnement pour infiltrer l’ensemble de l’écosystème.

Par exemple, en compromettant le réseau ou les systèmes d'un fournisseur, les attaquants peuvent obtenir un accès non autorisé aux partenaires en aval, entraînant ainsi un effet d'entraînement de failles de sécurité. Cela souligne l’interconnectivité et l’interdépendance de la sécurité de la chaîne d’approvisionnement, ce qui rend crucial pour les organisations d’évaluer et d’atténuer les risques non seulement au sein de leurs systèmes mais également sur l’ensemble de leur réseau de chaîne d’approvisionnement.

Une autre tendance inquiétante identifiée dans le rapport est l’augmentation des attaques de phishing dans la chaîne d’approvisionnement. Les cybercriminels utilisent des techniques d'ingénierie sociale pour tromper les individus au sein de la chaîne d'approvisionnement, les inciter à divulguer des informations sensibles ou à télécharger par inadvertance des logiciels malveillants.

Ces attaques de phishing peuvent être convaincantes, se faisant souvent passer pour des fournisseurs ou des parties prenantes internes de confiance. Il n'est donc peut-être pas surprenant que 28 % des personnes interrogées aient déclaré avoir été victimes d'une violation à la suite d'une attaque de phishing ciblant leurs employés au cours des 12 derniers mois. Les organisations doivent sensibiliser leurs employés à ces menaces et mettre en œuvre des mesures robustes de sécurité de la messagerie électronique pour lutter contre ces tentatives de phishing de plus en plus sophistiquées.

Vulnérabilités courantes de la chaîne d’approvisionnement et vecteurs d’attaque

Le rapport sur l'état de la sécurité des informations d'ISMS.online révèle également plusieurs vulnérabilités et vecteurs d'attaque courants que les acteurs malveillants exploitent pour compromettre la sécurité des fournisseurs.

Une vulnérabilité répandue est la faiblesse des contrôles des fournisseurs. De nombreux fournisseurs ne disposent pas de mesures de sécurité robustes, ce qui en fait une cible facile pour les cyberattaques. Ces vulnérabilités peuvent inclure des logiciels obsolètes, une gestion inadéquate des correctifs ou des contrôles d'accès laxistes. Les attaquants exploitent ces faiblesses pour obtenir un accès non autorisé à des informations sensibles ou introduire du code malveillant dans l’écosystème de la chaîne d’approvisionnement.

Une autre vulnérabilité découle du manque de diligence raisonnable lors de l’intégration des fournisseurs. Les organisations négligent souvent l'importance de vérifier minutieusement les pratiques de sécurité de leurs fournisseurs avant de s'engager dans des relations commerciales. Cette surveillance crée une faille potentielle dans les défenses de la chaîne d'approvisionnement, permettant aux attaquants d'exploiter le maillon le plus faible. Par exemple, un fournisseur ne disposant pas de mesures de sécurité suffisantes peut, par inadvertance, exposer l’ensemble de la chaîne d’approvisionnement à des risques importants.

Une sensibilisation et une formation insuffisantes en matière de sécurité tout au long de la chaîne d’approvisionnement constituent une autre vulnérabilité exploitée par les attaquants. Les employés à différents niveaux de la chaîne d’approvisionnement peuvent ne pas avoir une connaissance adéquate des meilleures pratiques en matière de cybersécurité ou des menaces potentielles auxquelles ils sont confrontés. Ce manque de connaissances les rend vulnérables aux attaques d’ingénierie sociale, aux tentatives de phishing ou à l’introduction par inadvertance de logiciels malveillants dans le système.

En effet, moins de la moitié des organisations interrogées avaient dispensé une formation régulière sur la sécurité de l'information ou la sensibilisation aux données au cours des 12 derniers mois (47 %), ce qui suggère que 53 % des organisations n'avaient pas encore dispensé de formation régulière de sensibilisation du personnel. Les organisations doivent donner la priorité à la formation de sensibilisation à la sécurité et établir une culture de vigilance tout au long de la chaîne d’approvisionnement.

Le rapport souligne également les risques associés aux composants logiciels et matériels tiers. L'intégration de ces composants dans la chaîne d'approvisionnement introduit un niveau de dépendance vis-à-vis d'entités externes, augmentant la surface d'attaque et les vulnérabilités potentielles. Des acteurs malveillants peuvent compromettre ces composants, entraînant des perturbations de la chaîne d'approvisionnement, des violations de données ou l'introduction de logiciels ou de matériels compromis.

En outre, les menaces internes au sein de la chaîne d’approvisionnement constituent un risque important. Des menaces internes peuvent survenir lorsque des personnes ayant un accès autorisé à l’écosystème de la chaîne d’approvisionnement abusent de leurs privilèges ou se livrent sciemment à des activités malveillantes. Il peut s'agir d'un employé mécontent, d'un entrepreneur ayant un accès non autorisé ou d'un interne compromis. Plus de 20 % des personnes interrogées dans notre enquête ont été confrontées à un incident résultant d'une menace interne au cours des 12 derniers mois. De telles menaces peuvent avoir de graves conséquences, notamment des violations de données, le vol de propriété intellectuelle ou le sabotage.

Comprendre ces vulnérabilités est crucial pour que les organisations puissent développer des stratégies ciblées d’atténuation des risques. Les organisations peuvent améliorer considérablement la sécurité des informations de leur chaîne d'approvisionnement en identifiant et en corrigeant les faiblesses des contrôles des fournisseurs, en mettant en œuvre des processus de diligence raisonnable rigoureux, en favorisant les programmes de sensibilisation et de formation à la sécurité et en gérant étroitement les composants logiciels et matériels tiers.

Naviguer dans les complexités de la sécurité des informations de la chaîne d’approvisionnement

Le recours croissant à des relations avec des tiers et l’évolution du paysage des menaces nécessitent une approche globale pour atténuer les risques et protéger les données sensibles. Explorons quelques domaines clés à prendre en compte lors de l'exploration des subtilités de la sécurité des informations de la chaîne d'approvisionnement.

Stratégies d’évaluation et d’atténuation des risques :

Une évaluation approfondie des risques est la base d’une sécurité efficace des informations sur la chaîne d’approvisionnement. Cela implique d’identifier et d’évaluer les vulnérabilités et les menaces potentielles au sein de l’écosystème de la chaîne d’approvisionnement. Les organisations peuvent hiérarchiser les risques, allouer efficacement les ressources et mettre en œuvre des stratégies d'atténuation ciblées en effectuant des évaluations régulières. Ces stratégies peuvent inclure le cryptage des données, des contrôles d'accès, des audits de sécurité réguliers et une surveillance continue pour détecter et corriger rapidement les vulnérabilités.

Établir un cadre solide de sécurité de la chaîne d’approvisionnement :

Les organisations doivent établir un cadre de sécurité robuste pour gérer efficacement la sécurité des informations de la chaîne d’approvisionnement. Ce cadre doit définir des politiques, des procédures et des lignes directrices claires pour garantir des pratiques de sécurité cohérentes tout au long de la chaîne d'approvisionnement. Il doit inclure des exigences de sécurité pour les fournisseurs, les sous-traitants et autres partenaires tiers, ainsi que des politiques de partage et de transmission sécurisés des données. Des évaluations et des audits réguliers peuvent valider l'efficacité du cadre et favoriser une amélioration continue.

Efforts de collaboration et partenariats :

Les organisations doivent favoriser une communication et une collaboration ouvertes avec les fournisseurs et les autres parties prenantes pour aligner les pratiques de sécurité, partager des informations sur les menaces et renforcer la posture de sécurité. Les initiatives collaboratives peuvent inclure des plateformes de partage d’informations, des audits de sécurité conjoints et des programmes réguliers de formation et de sensibilisation à la sécurité.

Gestion des risques tiers :

Il est essentiel d’établir des processus robustes de gestion des risques liés aux tiers. Cela implique de faire preuve de diligence raisonnable lors de la sélection des partenaires, d’évaluer leurs pratiques de sécurité et d’établir des accords contractuels décrivant les attentes et les responsabilités en matière de sécurité. Une surveillance et des audits réguliers des contrôles de sécurité tiers doivent être effectués pour garantir une conformité continue.

Plans de réponse aux incidents et de récupération :

Malgré des mesures de sécurité proactives, des incidents peuvent toujours survenir. Il est essentiel de disposer de plans de réponse aux incidents et de rétablissement bien définis. Ces plans doivent décrire les mesures à prendre en cas de faille de sécurité, y compris la détection, le confinement, l'enquête et la récupération des incidents. Les organisations doivent effectuer régulièrement des exercices et des simulations de réponse aux incidents pour tester l’efficacité de leurs plans et identifier les domaines d’amélioration.

Une approche proactive et complète de la sécurité des informations sur la chaîne d’approvisionnement est cruciale pour le succès à long terme et la continuité des activités dans un paysage de menaces en constante évolution.

Comment la norme ISO 27001 peut contribuer à une gestion efficace de la chaîne d'approvisionnement

ISO 27001 est une norme internationalement reconnue pour la gestion de l'information, mais il s'agit en réalité de la gestion des risques. Travailler dans le cadre ISO 27001 générera des comportements et des avantages en matière de sécurité pour toute entreprise cherchant à améliorer sa cyber-résilience et à gérer efficacement la sécurité de sa chaîne d'approvisionnement.

La norme ISO 27001 conseille aux entreprises d'avoirprocessus simple en place pour l'intégration et la gestion des fournisseurs. En particulier, concentrez-vous sur les éléments suivants :

1. Établir une politique formelle pour les fournisseurs, qui décrit vos exigences en matière d'atténuation des risques associés aux tiers
2. Convenir et documenter ces exigences avec chaque fournisseur
3. Vérifier que les fournisseurs ont mis en place des processus pour atteindre les niveaux appropriés de sécurité de base (y compris leurs propres chaînes d'approvisionnement). Cela pourrait se faire via des audits ciblés, des questionnaires ou des contrôles d'accréditation auprès de la norme ISO 27001.
4. Tenir à jour une liste régulièrement mise à jour des fournisseurs agréés
5. Évaluez régulièrement si les fournisseurs répondent à vos exigences de sécurité.
6. Assurez-vous que tout changement de technologie ou de processus est rapidement signalé et que vous comprenez leur impact sur le risque du fournisseur.

Cela peut sembler un conseil essentiel de bon sens, mais il peut permettre aux organisations d’économiser du temps, de l’argent, des dommages à leur réputation et de la frustration s’il est mis en œuvre correctement. De plus, la conformité au cadre ISO 27001 peut offrir un avantage commercial significatif en démontrant vos informations d'identification de sécurité certifiées aux clients actuels et futurs.

À mesure que la taille et la complexité des chaînes d’approvisionnement augmentent, les cyber-risques associés augmentent également. Les organisations doivent prendre des mesures décisives pour protéger leurs informations et leurs actifs. En exploitant des ressources telles que directives de cartographie de la chaîne d’approvisionnement proposées par le NCSC et en mettant en œuvre un SMSI basé sur la norme ISO 27001, les organisations peuvent renforcer leurs pratiques de gestion des risques de la chaîne d'approvisionnement et protéger leurs opérations contre l'évolution des cybermenaces. Il est désormais temps de donner la priorité à des mesures proactives pour relever ces défis de front.

Vous pouvez lire le rapport complet sur l’état de la sécurité des informations ici : https://fr.isms.online/state-of-infosec-23/

Lire le rapport