Gonda Lamberink, directrice principale du développement des affaires, UL.

Quelle est la posture de sécurité de votre chaîne d’approvisionnement?

En un coup d’oeil:

  • Une connectivité et une numérisation accrues rendent les organisations et les chaînes d’approvisionnement plus vulnérables aux cybermenaces.
  • À la suite d’une attaque de ransomware ou d’une violation de données, les entreprises doivent retrouver l’accès à leurs systèmes et données, mais doivent également faire face aux effets néfastes de la perte de production et des perturbations générales.
  • UL dispose d’un outil d’évaluation qui évalue la posture de sécurité des fournisseurs. L’évaluation aboutit à une note de niveau de confiance du fournisseur documentée pour chaque fournisseur de la chaîne.

Parmi les nombreuses stratégies de gestion des risques liés à la chaîne d’approvisionnement, l’impératif méthode uniforme pour le cadrage et la surveillance des risques est la clé.

En développant ce cadre, les chercheurs identifient trois domaines dans lesquels la navigation reste difficile. Selon McKinseyconsultants en gestion stratégique, ces sujets sont la transparence de la base d’approvisionnement, la portée et l’ampleur des risques, et les restrictions de données propriétaires. Lors de l’identification de la gamme de fournisseurs, l’investissement en temps important, la gravité du risque et l’accès limité aux informations ont tendance à entraver le processus de création d’une évaluation des risques robuste qui minimise efficacement les perturbations, ont-ils déclaré.

Dans les questions-réponses suivantes, Gonda Lamberink, experte en chaîne d’approvisionnement chez UL (Underwriters Laboratories), fait référence au rapport de McKinsey et à d’autres recherches constructives pour discuter des défis et des solutions potentielles.

Une partie du rôle de Lamberink chez UL est de s’engager avec le North American Transmission Forum (NATF), la National Association of State Energy Officials (NASEO) et la National Association of Regulatory Utility Commissioners (NARUC) pour aider à débloquer un ensemble de règles applicables à tous les secteurs. Lamberink explique comment le développement d’une nouvelle solution d’évaluation basée sur l’audit connue sous le nom de Niveau de confiance cybernétique du fournisseur: conçu pour aider les services publics à se conformer NERC CIP-013—A créé un cadre viable et transférable.

Conception de la machine: Quels sont les principaux risques en jeu autour des facettes d’interconnexion du système d’infrastructure de sécurité d’une entreprise?

Gonda Lamberink: Les chaînes d’approvisionnement sont généralement sensibles aux cyberattaques. Une étude réalisée en 2019 par Carbon Black a constaté que la moitié de toutes les cyberattaques visent les partenaires de la chaîne d’approvisionnement. Les attaquants veulent accéder à l’ensemble du système d’une organisation, y compris les partenaires et les fournisseurs, et / ou exploiter les partenaires et les fournisseurs afin d’accéder aux systèmes internes d’une organisation. Rapport annuel sur les risques 2020 de Resilience360 répertorie les cybermenaces comme l’un des plus gros problèmes auxquels sont confrontées les chaînes d’approvisionnement mondiales en 2020, le COVID-19 ayant affaibli les chaînes d’approvisionnement en général et les chaînes d’approvisionnement étant de plus en plus numérisées.

Bien que toutes les organisations soient effectivement conscientes du fait qu’elles pourraient être à risque via un tiers, un Crowdstrike 2019 étude constate qu’une majorité ne contrôle toujours pas la sécurité des fournisseurs, bien que le nombre d’organisations le faisant augmente. Et cela ne signifie pas non plus que les organisations d’aujourd’hui ne font pas d’efforts pour inventorier la position de sécurité de leur chaîne d’approvisionnement, mais les chaînes d’approvisionnement peuvent ne pas être entièrement couvertes, les informations peuvent être partielles et / ou les informations ne peuvent être consultées que très peu pour la prise de décision sur les fournisseurs et le choix des fournisseurs.

Gonda Lamberink, directrice principale du développement des affaires, UL.UL

MARYLAND: Pouvez-vous discuter d’une étude de cas qui démontre les coûts d’une réputation endommagée en raison d’une cyber-violation?

GL: Sans discuter des entreprises spécifiques, les grandes organisations de la fabrication industrielle, de l’automobile, des produits pharmaceutiques / chimiques et de la technologie, de la banque, de la vente au détail et de la santé, ainsi que de leurs chaînes d’approvisionnement, ont toutes été touchées par les ransomwares, les violations de données et les activités de groupes de hackers adverses. Une connectivité et une numérisation accrues rendent les organisations et les chaînes d’approvisionnement plus vulnérables aux cybermenaces.

À la suite d’une attaque de ransomware ou d’une violation de données, les entreprises doivent retrouver l’accès à leurs systèmes et données, mais doivent également faire face aux effets néfastes de la perte de production et des perturbations générales. Les pertes de réputation de marque s’ajoutent au coût total de ces attaques et violations. Dans le cadre d’un récent rapport de Weber Shandwick / KRC Research, «L’état de la réputation de l’entreprise en 2020», les dirigeants mondiaux attribuent en moyenne 63% de la valeur marchande de leur entreprise à leur réputation globale.

En même temps, 2019 recherche par Radware montre que 43% des entreprises subissent des expériences client négatives et une perte de réputation à la suite d’une cyberattaque réussie. Dans l’ensemble, l’impact des cyberattaques sur la valeur actionnariale peut être substantiel et durable, certaines organisations affichant une baisse de 25% de leur valeur marchande sur l’année suite à une attaque, mesurée par Pentland Analytics et Aon en 2018.

MARYLAND: Pourquoi les entreprises ne sont-elles pas conformes et que faudra-t-il pour y parvenir?

GL: Les chaînes d’approvisionnement présentent un maillon faible pour la cybersécurité, car de nombreuses organisations ont du mal à contrôler les contrôles de sécurité ou les mesures prises par les partenaires de la chaîne d’approvisionnement. Les fournisseurs sont souvent la cible car ils peuvent être moins conscients ou pas suffisamment protégés contre les menaces potentielles, en raison d’un manque de ressources, entre autres raisons. Les organisations peuvent voir leurs objectifs de sécurité d’entreprise couverts, mais doivent demander à leurs fournisseurs IT / OT (Operational Technology) et aux fournisseurs de leurs fournisseurs, sur l’ensemble de la chaîne de valeur, de mettre en place un niveau similaire de sécurité adéquate.

Un rapport de McKinsey, «A Practical Approach To Supply-Chain Risk Management», suggère qu’un problème courant est que les organisations ne savent pas ce qu’elles ne savent pas et que la plupart des organisations ne savent pas par où commencer pour savoir de quoi ils ont affaire. Les chaînes d’approvisionnement peuvent avoir des centaines ou des milliers de fournisseurs, et il est difficile de parvenir à la transparence dans la posture de sécurité de tous les fournisseurs. Les fournisseurs peuvent ne pas vouloir non plus partager des informations de sécurité propriétaires avec leurs clients finaux, et les équipes de sécurité internes peuvent être rapidement débordées pour évaluer les fournisseurs et leurs produits ou services.

MARYLAND: En quoi consiste exactement l’outil d’évaluation du niveau de confiance cybernétique des fournisseurs d’UL? Comment permet-il aux fabricants et aux intégrateurs de gérer et d’évaluer l’état de sécurité de leurs fournisseurs?

GL: Le niveau de confiance cybernétique des fournisseurs d’UL est une solution d’évaluation de la sécurité qui permet aux organisations d’obtenir une vue globale de l’état de sécurité de leurs fournisseurs grâce à une méthode d’évaluation juste et cohérente. Jusqu’à présent, aucun cadre ou norme unique ne répond de manière adéquate aux complexités de la sécurisation d’une chaîne d’approvisionnement à l’échelle de l’organisation.

Une évaluation du niveau de confiance cybernétique des fournisseurs UL analyse les pratiques de sécurité des fournisseurs, aboutissant à une note de niveau de confiance des fournisseurs documentée pour chaque fournisseur. Cette note démontre la robustesse des pratiques des fournisseurs de manière holistique, à travers leurs cycles de vie de développement logiciel et matériel, les systèmes hébergés et les systèmes de gestion de l’information.

Grâce à l’utilisation de la solution Supplier Cyber ​​Trust Level, les organisations minimisent leur propre risque de cybersécurité en se concentrant sur l’efficacité et la posture de cybersécurité des pratiques de sécurité de leurs fournisseurs. Les fournisseurs bénéficient également, grâce à un examen indépendant par un tiers de leur auto-évaluation, d’une évaluation assistée par UL ou d’une évaluation UL complète, pour améliorer leur sécurité et être plus compétitifs dans les processus d’approvisionnement.

MARYLAND: Comment les organisations peuvent-elles minimiser les risques lorsqu’elles se concentrent sur l’efficacité des pratiques de sécurité de leurs fournisseurs?

GL: La sécurité des composants, produits et / ou services fournis n’est généralement pas sous le contrôle de l’entité acheteuse. Une organisation peut avoir un contrôle total sur ses propres opérations et sur le développement et la maintenance sécurisés des produits et services développés en interne. Cependant, dans les chaînes d’approvisionnement complexes, diversifiées et connectées d’aujourd’hui, les produits et services finaux peuvent contenir des composants et des intrants provenant de nombreux fournisseurs différents qui peuvent présenter un risque pour la sécurité, qu’une organisation ne contrôle souvent que de manière minimale.

Dans l’idéal, les organisations devraient s’assurer que tout composant d’origine répond aux bonnes exigences de sécurité, à la fois au niveau des composants et également fourni par un fournisseur mature avec des processus de développement de produits sécurisés. De plus, avoir une visibilité sur les pratiques de sécurité des fournisseurs permet aux organisations de s’associer avec les meilleurs fournisseurs, ce qui motive les fournisseurs à améliorer leur posture de sécurité afin d’assurer leurs activités futures.

Gonda Lamberink est directrice principale du développement commercial chez UL.

Articles similaires

Commencez à saisir votre recherche ci-dessus et pressez Entrée pour rechercher. ESC pour annuler.

Retour en haut