Les 5 principaux problèmes de sécurité de la chaîne d'approvisionnement et les meilleures pratiques pour y remédier


Un rapport récent nous a montré que le paysage des menaces de 2020 a été largement façonné par la pandémie. Alors que les entreprises se précipitaient pour passer aux environnements cloud pour garder les lumières de leur entreprise allumées pendant la pandémie, la sécurité était en grande partie une réflexion après coup, mais pour les attaquants, c'était une priorité.

Au fur et à mesure que la chronologie des événements et des progrès de la pandémie se déroulait, les tendances des attaques ont évolué. Les marques sur lesquelles nous nous sommes appuyés lors de la distanciation sociale et du travail à distance étaient le déguisement préféré des attaquants. Les efforts de secours et les informations sur la santé publique ont été utilisés comme des leurres anti-spam, et des éléments critiques de la chaîne d'approvisionnement en vaccins ont été ciblés. Beaucoup d'entre nous dans la chaîne d'approvisionnement se souviennent des violations de données majeures il y a quelques années, subies par de grands détaillants comme Target et Home Depot résultant de relations avec des tiers. Près de sept ans plus tard, les violations de la sécurité de la chaîne d'approvisionnement font toujours la une des journaux – avec la pandémie et, plus particulièrement, la violation de SolarWinds qui s'est répercutée dans le secteur l'année dernière.

L'analyse la plus récente évalue le coût moyen d'une violation de données à 3,86 millions de dollars, les méga violations (50 millions d'enregistrements ou plus volés) atteignant 392 millions de dollars. Compte tenu de la recrudescence des attaques de la chaîne d'approvisionnement en 2020, nous ne pouvons imaginer l'impact que lorsque l'analyse est mise à jour.

Nous devons donc tirer les leçons de 2020 pour nous assurer que l’histoire ne se répète pas.

Les 5 principaux problèmes de sécurité de la chaîne d'approvisionnement

Les leaders de la chaîne d'approvisionnement du monde entier et de tous les secteurs nous disent que ces cinq problèmes de sécurité de la chaîne d'approvisionnement les empêchent de dormir la nuit:

1. Protection des données. Les données sont au cœur des transactions commerciales et doivent être sécurisées et contrôlées au repos et en mouvement pour éviter toute violation et falsification. L'échange de données sécurisé implique également de faire confiance à l'autre source, qu'il s'agisse d'un tiers ou d'un site Web de commerce électronique. Il est essentiel d'avoir l'assurance que la partie avec laquelle vous interagissez est bien celle qu'elle prétend être.

2. Localisation des données. Les données critiques existent à tous les niveaux de la chaîne d'approvisionnement et doivent être localisées, classées et protégées où qu'elles se trouvent. Dans les secteurs hautement réglementés tels que les services financiers et les soins de santé, les données doivent être acquises, stockées, gérées, utilisées et échangées conformément aux normes de l'industrie et aux mandats gouvernementaux qui varient en fonction des régions dans lesquelles elles opèrent.

3. Visibilité et gouvernance des données. Les réseaux d'entreprise multi-entreprises facilitent non seulement l'échange de données entre les entreprises, mais permettent également à plusieurs entreprises d'accéder aux données afin qu'elles puissent afficher, partager et collaborer. Les entreprises participantes exigent un contrôle sur les données et la possibilité de décider avec qui les partager et ce que chaque partie autorisée peut voir.

4. Prévention de la fraude. Au cours d'un même cycle ordre-encaissement, les données changent de mains à plusieurs reprises, parfois au format papier et parfois électronique. Chaque point auquel des données sont échangées entre des parties ou déplacées au sein des systèmes offre la possibilité de les falsifier – de manière malveillante ou par inadvertance.

5. Risque tiers. Les produits et services de tous les jours, des téléphones portables aux automobiles, sont de plus en plus sophistiqués. En conséquence, les chaînes d'approvisionnement dépendent souvent de quatre niveaux ou plus de fournisseurs pour livrer les produits finis. Chacune de ces parties externes peut exposer les organisations à de nouveaux risques en fonction de leur capacité à gérer correctement leurs propres vulnérabilités.

Alors, que faudra-t-il pour lutter contre la sécurité de la chaîne d'approvisionnement?

Une partie du défi est qu'il n'y a pas de définition fonctionnelle unique de la sécurité de la chaîne d'approvisionnement. C'est un domaine extrêmement vaste qui comprend tout, des menaces physiques aux cybermenaces, de la protection des transactions à la protection des systèmes, et de l'atténuation des risques avec les parties du réseau commercial immédiat à l'atténuation des risques dérivés des relations avec des tiers, des quatrièmes et des «n» parties. Cependant, il est de plus en plus admis que la sécurité de la chaîne d'approvisionnement nécessite une approche multiforme et fonctionnellement coordonnée.

Meilleures pratiques de sécurité de la chaîne d'approvisionnement

La sécurité de la chaîne d'approvisionnement nécessite une approche multidimensionnelle. Il n'y a pas de panacée unique, mais les organisations peuvent protéger leurs chaînes d'approvisionnement en combinant plusieurs défenses. Alors que les équipes se concentrant sur la sécurité de la chaîne d'approvisionnement, il est plus difficile pour les acteurs de la menace d'exécuter le gant des contrôles de sécurité, ils gagnent plus de temps pour détecter les activités néfastes et prendre des mesures. Voici quelques-unes des stratégies les plus importantes que les organisations poursuivent pour gérer et atténuer les risques liés à la sécurité de la chaîne d'approvisionnement.

Évaluations de la stratégie de sécurité. Pour évaluer les risques et la conformité, vous devez évaluer la gouvernance de la sécurité existante – y compris la confidentialité des données, les risques tiers et les besoins et lacunes de conformité réglementaire informatique – par rapport aux défis, exigences et objectifs de l'entreprise. La quantification des risques de sécurité, l'élaboration de programmes de sécurité, la conformité aux réglementations et aux normes, ainsi que l'éducation et la formation en matière de sécurité sont essentielles.

Atténuation des vulnérabilités et tests de pénétration. Identifiez d'abord les problèmes de sécurité de base en exécutant des analyses de vulnérabilité. La correction des mauvaises configurations de base de données, des politiques de mot de passe médiocres, l'élimination des mots de passe par défaut et la sécurisation des terminaux et des réseaux peuvent réduire immédiatement les risques avec un impact minimal sur la productivité ou les temps d'arrêt. Employez des spécialistes des tests d'intrusion pour tenter de trouver des vulnérabilités dans tous les aspects des applications nouvelles et anciennes, de l'infrastructure informatique sous-jacente à la chaîne d'approvisionnement et même des personnes, grâce à la simulation de phishing et au red teaming.

Numérisation et modernisation. Il est difficile de sécuriser les données si vous comptez sur le papier, le téléphone, le fax et le courrier électronique pour les transactions commerciales. La numérisation des processus manuels essentiels est essentielle. Les solutions technologiques qui facilitent le passage des processus manuels sur papier et apportent la sécurité, la fiabilité et la gouvernance aux transactions constituent la base d'un mouvement sécurisé des données au sein de l'entreprise et avec les clients et les partenaires commerciaux. Au fur et à mesure que vous modernisez les processus métier et les logiciels, vous pouvez tirer parti du chiffrement, de la tokenisation, de la prévention des pertes de données, de la surveillance et des alertes d'accès aux fichiers, et amener les équipes et les partenaires avec une sensibilisation et une formation à la sécurité.

Identification et cryptage des données. Les programmes et politiques de protection des données devraient inclure l'utilisation d'outils de découverte et de classification pour identifier les bases de données et les fichiers qui contiennent des informations client protégées, des données financières et des enregistrements propriétaires. Une fois les données localisées, l'utilisation des dernières normes et politiques de chiffrement protège les données de tous types, au repos et en mouvement – client, financier, commande, inventaire, Internet des objets (IoT), santé, etc. Les connexions entrantes sont validées et le contenu du fichier est scruté en temps réel. Les signatures numériques, l'authentification multifactorielle et les interruptions de session offrent des contrôles supplémentaires lors des transactions sur Internet.

Contrôles autorisés pour l'échange de données et la visibilité. Les réseaux d'entreprise multi-entreprises garantissent un échange d'informations sécurisé et fiable entre les partenaires stratégiques grâce à des outils d'accès basé sur les utilisateurs et les rôles. Les pratiques de sécurité de gestion des identités et des accès sont essentielles pour partager en toute sécurité des données propriétaires et sensibles dans un vaste écosystème, tandis que la détection et l'atténuation des vulnérabilités réduisent le risque d'accès inapproprié et de violations. La surveillance de l'activité de la base de données, la surveillance des utilisateurs privilégiés et les alertes offrent une visibilité pour détecter rapidement les problèmes. L'ajout de la technologie blockchain à un réseau d'entreprise multi-entreprises offre une visibilité multipartite d'un enregistrement partagé immuable et autorisé qui alimente la confiance tout au long de la chaîne de valeur.

Confiance, transparence et provenance. Avec une plate-forme blockchain, une fois que les données sont ajoutées au grand livre, elles ne peuvent pas être manipulées, modifiées ou supprimées, ce qui aide à prévenir la fraude, à authentifier la provenance et à surveiller la qualité du produit. Les participants de plusieurs entreprises peuvent suivre les matériaux et les produits de la source au client final ou au consommateur. Toutes les données sont stockées sur des registres blockchain, protégés avec le plus haut niveau de cryptage inviolable disponible dans le commerce.

Gestion des risques tiers. À mesure que les connexions et les interdépendances entre les entreprises et les tiers se développent dans l'écosystème de la chaîne d'approvisionnement, les organisations doivent élargir leur définition de la gestion des risques des fournisseurs pour inclure la sécurité de bout en bout. Cela permet aux entreprises d'évaluer, d'améliorer, de surveiller et de gérer les risques tout au long de la vie de la relation. Commencez par réunir vos propres équipes commerciales et techniques avec des partenaires et des fournisseurs pour identifier les actifs critiques et les dommages potentiels aux opérations commerciales en cas de violation de conformité, d'arrêt du système ou de violation de données qui devient publique.

Planification et orchestration de la réponse aux incidents. Il est essentiel de se préparer de manière proactive en cas de brèche, d'arrêt ou d'interruption, et de disposer d'un solide plan de réponse aux incidents. Des plans de réponse et de remédiation mis en pratique, testés et facilement exécutables évitent les pertes de revenus, les atteintes à la réputation et le taux de désabonnement des partenaires et des clients. Les renseignements et les plans fournissent des mesures et des apprentissages que votre organisation et vos partenaires peuvent utiliser pour prendre des décisions afin d'éviter que des attaques ou des incidents ne se reproduisent.

Jonathan Wright est associé directeur – chef de file de la ligne de services chez IBM Services.



Source link

Il n’a à la saint-glinglin été aussi facile de lancer un website e-commerce de nos jours, il suffit de voir le taux le montant le pourcentage de plateformes web commerce électronique en France pour s’en livrer compte. En effet, 204 000 plateformes web actifs en 2016. En 10 ans, le nombre de plateformes web a été fois 9. Avec l’évolution des technologies, média à grand coup d’histoire de succès story, (si dans l’hypothèse ou nous-mêmes vous assure, moi c’est aussi tombé dans le panneau) le commerce électronique est longuement été vu comme un eldorado. Du coup, une concurrence accrue a vu le journée dans thématiques.