4 points clés à retenir de notre événement sur la chaîne d'approvisionnement DORA.

Questions abordées

✔ Comment traiter avec les grands fournisseurs qui ne laissent aucune marge de manœuvre dans les contrats ?
✔ Devons-nous inclure tous les fournisseurs dans notre gestion des risques ? Et dans notre approche ?
✔ Comment gérer les contrats en cours ?
✔ Devons-nous inclure les applications critiques dans nos tests de résilience opérationnelle ?
✔ "Nous sommes déjà certifiés ISO27001"/"Nous sommes déjà conformes au NIS1"/"Nous suivons un cadre tel que le NIST ou les bonnes pratiques en matière de sécurité de l'information" : sommes-nous prêts pour le DORA ?

À retenir 1 : Lors d'une attaque de la chaîne d'approvisionnement, une communication transparente est essentielle

Alan Lucas, actuel RSSI de Homefashion Group et ancien RSSI de LiteBit, a partagé des informations précieuses tirées de son expérience dans le secteur des crypto-monnaies. Alors qu'il travaillait chez LiteBit, la sécurisation de vastes sommes d'argent contre les cybermenaces était une tâche quotidienne, rendue plus complexe par les importants volumes de transactions et le besoin inhérent d'anonymat, le tout dans un environnement peu réglementé.

L'engagement de LiteBit en faveur de bonnes pratiques de cybersécurité a été mis à l'épreuve lorsqu'un fournisseur clé a été victime d'une cyberattaque, qui a à son tour laissé LiteBit exposé à des menaces potentielles. Cet incident nous a rappelé l'importance de sécuriser chaque partie de la chaîne d'approvisionnement.

Alan a partagé quelques enseignements sur la manière dont ils ont géré cette attaque de la chaîne d'approvisionnement :

• Communication transparente entre le fournisseur et le client.
  Impliquez la bonne équipe d'incident response dès le début.
• Impliquez les équipes d'incident response des deux côtés dans votre équipe de crise. Sinon, vous avez deux boîtes noires, la collaboration est essentielle.
  Mettez en corrélation les journaux et les données des deux parties pour obtenir une vue d'ensemble.
• Communiquez le plus tôt possible. Demandez (contractuellement) à vos fournisseurs de communiquer les incidents dès que possible.

Deuxième enseignement : l'industrie automobile peut servir d'exemple pour mettre de l'ordre dans la sécurité de la chaîne d'approvisionnement.

Razvan Venter, du groupe de marché des fabricants de Bureau Veritas Cybersecurity, a donné un aperçu de la façon dont l'industrie automobile aborde la sécurité de la chaîne d'approvisionnement. Ce secteur est en avance sur les autres industries dans ce domaine, car il a toujours été très dépendant de ses fournisseurs pour la fabrication de ses produits. L'industrie adhère aux règlements de cybersécurité R155/R156, établis par la CEE-ONU.

Ces réglementations couvrent une série de domaines, notamment les exigences générales, le matériel, les logiciels et les microprogrammes, les logiciels d'arrière-plan des services, ainsi que les mises à jour. Razvan a contribué à la création d'un programme de fournisseurs avec l'un des plus grands constructeurs automobiles du monde. Ce programme a été testé dans le cadre d'un projet pilote impliquant 42 fournisseurs dans les domaines de la fabrication, des services en nuage et du développement d'applications dorsales.

Razvan a partagé avec nous quelques-uns de ses principaux enseignements :

• Il a fallu plus d'un an pour que le groupe pilote de 42 fournisseurs soit conforme.
  Tous les fournisseurs étaient prêts à se conformer, mais certains d'entre eux ne pouvaient pas prendre en compte les conséquences financières de la demande.
• Les nouveaux fournisseurs ont accepté de se conformer beaucoup plus facilement que les fournisseurs existants.
  Certains sujets récurrents ont causé des problèmes ou des retards. Par exemple, le contrôle de la sécurité et le stockage des informations.
• Aucun fournisseur ne s'est conformé à la demande sans intervention juridique.

Enseignement 3 : même si vous êtes bien protégé, vous pouvez toujours être piraté, d'où l'importance du pentesting.

Michael Schouwenaar de Bureau Veritas Cybersecurity a apporté un point de vue technique sur la complexité de la défense contre les cyberattaques, en particulier lors de l'utilisation d'outils tiers. Il a illustré son propos par un incident impliquant une plateforme bancaire sur internet compromise par un outil de gestion de paquets.

Bien que les développeurs s'appuient souvent sur des sources externes pour les systèmes d'exploitation, les cadres de développement et les bibliothèques, la banque avait mis en place des mesures de cybersécurité rigoureuses. Néanmoins, des attaquants ont réussi à télécharger un paquet malveillant, que l'outil de gestion des paquets de la banque a ensuite distribué par inadvertance au sein du système bancaire, contournant ainsi les protocoles de sécurité établis.

Heureusement, cette faiblesse a été découverte lors d'un test d'intrusion, soulignant le rôle critique des security testing pour les outils tiers qui font partie intégrante des processus essentiels.

Enseignement 4 : il est essentiel de travailler en étroite collaboration avec vos fournisseurs en matière de sécurité

Jelle Groenendaal et Bram Ketting, de 3rd Risk,ont donné un aperçu de l'importance de la gestion des risques des tiers au sein des chaînes d'approvisionnement, en soulignant sa pertinence non seulement pour la cybersécurité, mais aussi pour la durabilité, la géopolitique, la rareté des ressources et la conformité aux réglementations.

Alors que DORA se concentre sur les entités sous accord contractuel, Jelle et Bram soulignent le spectre plus large des relations avec les tiers, telles que les alliances, les partenaires, les revendeurs, les agents, les distributeurs et les clients, qui peuvent également introduire des risques.

Malgré ces risques, la collaboration avec des tiers est souvent nécessaire pour obtenir une expertise spécialisée ou innover. Jelle et Bram constatent une dépendance croissante à l'égard des tiers alors que les équipes de sécurité ont tendance à se concentrer sur les actifs et les procédures internes, ce qui met en évidence une déconnexion potentielle.

Cette situation est d'autant plus préoccupante que jusqu'à 60 % des violations de données sont aujourd'hui liées à des tiers. Une approche équilibrée de la gestion des risques de sécurité internes et externes devient cruciale.

Jelle et Bram ont partagé quelques idées tirées de leur expérience dans ce domaine depuis de nombreuses années :

• Adoptez d'emblée une méthodologie évolutive.
• Pensez au risque, pas seulement à la conformité.
• Travaillez avec vos fournisseurs pour les comprendre et ne vous contentez pas d'une feuille de calcul.
• Ne vous fiez pas uniquement aux assessments et aux ratings.
• Évitez les feuilles de calcul.
• Il n'y a pas de solution miracle.
  

Téléchargez le résumé complet (pdf)

Un grand merci à Eward Driehuis pour son accueil formidable, à Bram Ketting et Jelle Groenendaal pour avoir partagé leurs connaissances en matière de gestion des risques, et à Alan Lucas pour nous avoir guidés à travers une attaque de la chaîne d'approvisionnement.

A PROPOS DE SECURA

Bureau Veritas Cybersecurity est un expert de premier plan en matière de cybersécurité. Nos clients vont des gouvernements et des soins de santé à la finance et à l'industrie dans le monde entier. Bureau Veritas Cybersecurity propose des services techniques, tels que des évaluations de vulnérabilités, des tests d'intrusion et du Red Teaming. Nous fournissons également des certifications pour les environnements IoT et industriels, ainsi que des audits, des services forensiques et des formations de sensibilisation. Notre objectif est d'accroître votre résilience Cyber.

Bureau Veritas Cybersecurity est une société de Bureau Veritas. Bureau Veritas (BV) est une société cotée en bourse spécialisée dans les tests, l'inspection et la certification. Fondé en 1828, BV emploie plus de 80 000 personnes et est présent dans 140 pays. Bureau Veritas Cybersecurity est la pierre angulaire de la stratégie de cybersécurité de Bureau Veritas.