Point informatique

Dans quelle mesure votre chaîne d’approvisionnement est-elle à l’abri de la cybercriminalité ?

L’ampleur réelle de la cybercriminalité est largement méconnue dans le secteur industriel, et elle a tout du film d’horreur. Ruari McCallion s’entretient avec des experts sur la nature et l’étendue des menaces qui pèsent sur la chaîne d’approvisionnement et le secteur d’activité de la manutention, et sur la manière d’intégrer le sécurité système.

Les grandes « attaques de piratage », telles que WannaCry, et les violations de données à grande échelle comme celle qui a frappé l’entreprise GE Capital, font la une des journaux, mais la réalité est que la cybercriminalité est désormais monnaie courante. Elle touche des entreprises de toutes tailles et de tous les secteurs d’activité.

Selon l’indice portant sur les menaces potentielles « 2019 Global Threat Intelligence  » d’IBM, les entreprises manufacturières sont la cible de 10 % de toutes les attaques et incidents commerciaux liés à la cybercriminalité dans le monde, mais elles ne sont que le cinquième secteur le plus ciblé dans ce classement particulier. Comme on pouvait s’y attendre, le secteur de la finance et de l’assurance est en tête, avec 19 % de toutes les attaques. Fait inquiétant pour les opérateurs logistiques, les professionnels et utilisateurs de la chaîne d’approvisionnement physique et les services de transport arrivent en deuxième position avec 13 % et le commerce de détail en quatrième position avec 11 %. Cela signifie que les activités de logistique et de manutention sont largement impliquées, les entreprises de ce secteur représentant environ 34 % de toutes les attaques
de cybercriminalité.

Selon la société spécialisée dans la modélisation des risques Assured Cyber Protection ltd, le coût annuel de la cybercriminalité devrait s’élever à 600 millions de dollars US par an d’ici 2021. Et il s’agit probablement d’une sous-estimation, car de nombreux incidents ne sont pas signalés. Certains ont entraîné l’interruption de la production, voire l’arrêt total des activités des entreprises. Il s’agit là d’un crime majeur. L’image d’un déséquilibré se livrant à des attaques malveillantes depuis le sous-sol de sa mère est dépassée.

La mondialisation et son lot de désagréments

« Le piratage représente un modèle économique en soi dans certaines régions du monde », selon Michael Rösch, vice-président senior de la division Engagement client en Europe, chez Jaggaer, un fournisseur de technologie d’automatisation des affaires basée sur le Cloud. Certains États sont sans doute impliqués également.

L’allongement des chaînes d’approvisionnement mondialisées a entraîné de réels problèmes. Plus une chaîne est longue, plus elle comporte de maillons, et plus elle devient vulnérable. Les risques et les coûts afférents peuvent amener certains à se demander si une dépendance accrue à l’égard des technologies de l’information en vaut la peine.

« Nous voyons encore de nombreuses entreprises gérer des pans entiers de leur chaîne d’approvisionnement, armées de crayons et de papier, de fax, de documents Excel et de courriels. Ces entreprises sont très largement désavantagées. À défaut de systèmes de pointe étroitement liés à la base d’approvisionnement, il est difficile d’échanger des informations de manière rapide et fiable. Les demandes évoluent constamment. À moyen terme, de plus en plus d’entreprises utiliseront des systèmes permettant de prendre numériquement en charge leurs chaînes d’approvisionnement. »

Conclusion : régresser vers des systèmes physiques reposant sur du papier n’est pas la panacée. Le moyen le plus efficace de communiquer des données le long de chaînes d’approvisionnement étendues et distribuées consiste à utiliser des systèmes basés sur le Cloud, accessibles de n’importe où. Une protection et une sécurité efficaces sont donc nécessaires et les entreprises doivent mettre tout en œuvre pour éviter toute possibilité de violation de leurs systèmes.

« Le piratage informatique représente un modèle économique en soi dans certaines régions du monde ».

Michael Rösch, Senior Vice President Customer Engagement Europe, Jaggaer

Donner la priorité à la protection

« Les pirates informatiques recherchent des informations très utiles qu’ils peuvent facilement obtenir. Si l’effort mis en œuvre pour pirater un système est important tandis que la valeur est très faible, il n’est d’aucun intérêt », poursuit Michael Rösch, tout en soulignant l’importance de la hiérarchisation des priorités. « En matière de marchés publics, par exemple, les informations sur les prix pourraient être très précieuses si vous, en qualité de fournisseur, preniez part à une enchère en ligne pour une affaire de plusieurs millions d’euros dans le secteur automobile. En revanche, les informations sur les prix des produits de base tels que les crayons, les ordinateurs portables et autres fournitures de bureau présentent moins d’intérêt et sont de ce fait moins sensibles. Nous recommandons de classer les données avec soin et de les protéger en conséquence. »

Philip Ashton, cofondateur et PDG de 7bridges, une plateforme informatique logistique multisectorielle qui fait un usage intensif de l’intelligence artificielle (IA), observe que la sécurité de l’information correspond à une fonction fondamentale pour les fournisseurs de logiciels à la demande (SaaS), pour qui les systèmes infonuagiques sont la spécialité. Interrogé sur les implications, en matière de sécurité, du stockage des données dans le Cloud plutôt que dans les murs d’une usine (ou d’un entrepôt), Vikram Singla, directeur de la stratégie chez Oracle, répond en demandant où il serait plus sûr de cacher les bijoux de famille : dans la maison ou dans le coffre-fort d’un spécialiste, comme une banque ?

« Les risques de violation des données et les menaces pour la sécurité ne cessent d’augmenter », affirme Philip Ashton, « de sorte que le choix de partenaires qui considèrent la sécurité comme une fonction essentielle devrait être un critère de décision clé. Le plus grand risque auquel les entreprises font face est de ne pas prendre de mesures immédiates concernant l’utilisation de leurs données, et en termes de logistique, cela se traduit par l’emploi d’une IA spécialisée. Seules très peu d’entreprises disposeront d’une telle capacité en interne et elles doivent par conséquent choisir les bons partenaires basés sur le Cloud pour rester compétitives. Il suffit de voir toutes les entreprises qui ont eu du mal à maintenir à flot leur chaîne d’approvisionnement pendant la période de perturbation occasionnée par le virus Covid-19, tandis qu’Amazon en a tiré parti. »

L’un des plus grands risques pour une entreprise qui possède une chaîne d’approvisionnement à la fois longue, complexe et mondiale est le temps limité dont elle dispose pour gérer de manière appropriée un grand nombre d’intégrations avec ses fournisseurs, ses clients et ses partenaires. « Chacun de ces maillons constitue une vulnérabilité potentielle, alors permettre à des systèmes SaaS infonuagiques spécialisés, comme 7bridges, de traiter avec un écosystème signifie que vous n’avez qu’une seule intégration à sécuriser », souligne-t-il.

Le fournisseur Jaggaer le rejoint sur ce point, ajoutant que l’authentification à facteurs multiples, des mots de passe forts ainsi qu’une gestion précise des droits et rôles, sont utiles pour protéger les informations confidentielles. Il utilise des techniques de chiffrement additionnelles et des journaux d’audit pour fournir des couches de sécurité supplémentaires.

Les changements sont incessants, les mises à jour essentielles

Mais le paysage est en train de changer. De nouvelles applications sont constamment développées et les capacités des systèmes existants sont étendues à peu près chaque semaine. Les exigences des utilisateurs finaux évoluent également : les discussions autour des relocalisations, des délocalisations à proximité et des chaînes d’approvisionnement plus courtes laissent penser que les demandes seront différentes, avec des livraisons peut-être plus petites mais beaucoup plus nombreuses. Parallèlement, les cybercriminels se perfectionnent sans cesse.

Les arguments de Vikram Singla en faveur du transfert des responsabilités aux entités spécialisées semblent très valables. Philip Ashton affirme qu’après la période Covid les entreprises auront besoin de chaînes d’approvisionnement plus agiles et plus efficaces, ce qui entraînera un besoin accru en ce qui concerne le déploiement de l’IA et l’accès à un écosystème de fournisseurs, de clients et de partenaires. En matière de sécurité, les entreprises qui gèrent ces aspects en interne auront à affronter de nouveaux défis.

Et Michael Rösch de conclure : « À moyen terme, de plus en plus d’entreprises utiliseront des systèmes permettant de prendre numériquement en charge leurs chaînes d’approvisionnement. Ces investissements conduiront à plus de sécurité et à de nouvelles techniques pour protéger les clients, les utilisateurs et les chaînes d’approvisionnement, et je parie que l’IA y jouera un rôle déterminant. »

1. Source: “Cyber Security and Manufacturing”; MakeUK, 2019.