Pourquoi les responsables de la chaîne d’approvisionnement ne se concentrent-ils pas davantage sur l’amélioration de la cybersécurité ?

Par Ryan Tierney

Les incidents liés à la cybersécurité sont une cause majeure de perturbations et de retards dans la chaîne d’approvisionnement, ainsi qu’un risque financier et de réputation potentiellement dévastateur. Alors pourquoi les responsables de la chaîne d’approvisionnement ne sont-ils pas plus nombreux à se concentrer sur l’amélioration de la cybersécurité de leur entreprise ? 

Dans une étude récente menée par TrueCommerce auprès de 150 responsables de la chaîne d’approvisionnement, les personnes interrogées ont classé les cyberattaques parmi les défis les plus importants et les perturbateurs les plus redoutés. Mais il est intéressant de noter que l’amélioration de la cybersécurité ne figure pas parmi leurs principaux objectifs.  

L’importance de la gestion des risques de cybersécurité dans la chaîne d’approvisionnement  

Dans un monde où presque toutes les organisations sont confrontées à un barrage incessant de menaces de ransomware, d’attaques de phishing et d’autres cyberattaques, le maintien d’une posture de cybersécurité solide est essentiel à la continuité de l’activité et à la survie concurrentielle. C’est particulièrement vrai pour les partenaires de la chaîne d’approvisionnement des PME, qui doivent de plus en plus valider qu’ils peuvent assurer la sécurité des données de leurs clients et se conformer à leurs directives en matière de cybersécurité.  

Pourquoi cette pression croissante ? Les pirates informatiques intensifient leurs attaques contre les fournisseurs afin d’exploiter leurs faiblesses en matière de cybersécurité et de s’introduire dans les entreprises clientes mieux défendues. Selon le rapport 2024 Data Breach Investigations Report de Verizon, 15 % des violations de données impliquent un partenaire de la chaîne d’approvisionnement ou un autre tiers.   

Si des pirates informatiques parviennent à accéder aux données sensibles que vous échangez avec vos partenaires commerciaux, telles que les bons de commande, les factures et les détails de paiement, cela pourrait vous coûter bien plus que des temps d’arrêt, des mesures correctives et des frais juridiques. Vous risquez également de perdre des revenus, car vos clients vous abandonnent au profit de concurrents plus sûrs.  

L’amélioration de votre cybersécurité est vraiment le seul moyen d’atténuer efficacement ce risque. Par exemple, même si vous pouviez transférer le risque financier d’une violation de données à un assureur en responsabilité civile cybernétique, cela ne résoudrait pas le « risque fournisseur » élevé de vos clients. Elle ne résoudra pas non plus les problèmes de sécurité des données ou de respect de la vie privée que vous pourriez encore rencontrer. 

Que dit l’étude TrueCommerce sur la cybersécurité ? 

Notre étude a abordé la cybersécurité de la chaîne d’approvisionnement dans plusieurs domaines. Voici les principales données : 

• 31 % des personnes interrogées ont déclaré qu’elles s’attendaient à subir des perturbations de la chaîne d’approvisionnement dues à des cybermenaces en 2024. Les cybermenaces se classent au troisième rang des perturbations les plus largement anticipées, après les pénuries de main-d’œuvre (34 %) et les changements de prix (45 %).  
• Parmi les personnes interrogées ayant des chaînes d’approvisionnement mondiales, les cybermenaces étaient la principale préoccupation, affectant 49 % des organisations. Les fluctuations monétaires et les taux de change arrivent en deuxième position (43 %), mais pour de nombreuses entreprises, ils représentent un risque global moins important que les cyberattaques. 
• Interrogés sur les principaux objectifs de la chaîne d’approvisionnement pour 2024, 25 % des répondants ont cité « l’amélioration de la résilience de la chaîne d’approvisionnement », ce qui pourrait impliquer le renforcement des contrôles de cybersécurité (voir tableau 1). Ce chiffre est en baisse par rapport aux 28 % enregistrés en 2023. « Améliorer la cybersécurité » ne figurait pas parmi les objectifs choisis pour la chaîne d’approvisionnement.  

	Principaux objectifs en 2023	Principaux objectifs en 2024
Prévision précise de la demande	21 %	25 %
Traitement précis des commandes	33 %	23 %
Embaucher des travailleurs	27 %	25 %
Amélioration de la gestion des stocks	21 %	25 %
Gérer les pics de commandes saisonniers	17 %	25 %
Intégration de nouveaux partenaires commerciaux	10 %	6 %
Automatisation des processus	15 %	13 %
Amélioration de la productivité	11 %	13 %
Augmentation des bénéfices	5 %	6 %
Réduire les retards	15 %	21 %
Augmentation des ventes	39 %	34 %
Réduction des ruptures de stock	14 %	15 %
Amélioration de la résilience de la chaîne d’approvisionnement	28 %	25 %
Intégration des technologies	27 %	21 %
Réduction des délais de mise sur le marché	8 %	12 %
Visibilité des processus d’entreprise et des flux de travail	6 %	9 %
Sécurité des travailleurs	3 %	0 %

Tableau 1 : Principaux objectifs de la chaîne d’approvisionnement. 
 

Compte tenu des exigences des parties prenantes en matière de protection des données et du caractère inévitable des attaques, pourquoi les responsables de la chaîne d’approvisionnement ne sont-ils pas plus nombreux à vouloir améliorer la cybersécurité ? L’une des raisons pourrait être que les contrôles de sécurité sont souvent considérés sous l’angle des coûts, sans tenir compte de la manière dont ils peuvent également créer une valeur concurrentielle. Un autre obstacle que nous rencontrons souvent dans le domaine de la sécurité est que, compte tenu de la complexité de la question, les gens ne savent pas par où commencer. 

Comment les entreprises de la chaîne d’approvisionnement peuvent-elles améliorer leur cybersécurité ? 

Parce que les pirates informatiques peuvent les utiliser de multiples façons, l’échange de documents avec vos partenaires commerciaux augmente intrinsèquement votre risque de cybersécurité. Pourtant, la capacité à sécuriser les documents d’entreprise est primordiale compte tenu des données sensibles qu’ils contiennent et du nombre considérable de transactions commerciales qu’ils représentent.  

Comment minimiser les risques liés aux documents ? Une solution d’échange de données informatisées (EDI) correctement configurée par un fournisseur fiable peut s’avérer très utile.  

Contrairement aux formats de documents largement exploités tels que les PDF, les archives ZIP et les fichiers Microsoft 365 qui sont généralement envoyés et reçus par courrier électronique, les documents EDI sont généralement échangés via des protocoles de réseau sécurisés. Les données EDI sont également cryptées et soumises à des contrôles automatiques de leur intégrité et de leur confidentialité, ce qui les rend extrêmement difficiles à exploiter pour les cybercriminels.  

Les flux de travail EDI confirment également, grâce à la traçabilité, que les données reçues proviennent d’une source légitime. Une autre couche de sécurité des systèmes EDI modernes comprend des procédures robustes de contrôle d’accès et d’authentification pour contrecarrer les attaques basées sur les informations d’identification sur l’environnement EDI lui-même. 

Cependant, les réseaux EDI ne sont pas invulnérables aux attaques, surtout aujourd’hui avec l’utilisation accrue de portails accessibles par navigateur et basés sur l’informatique en nuage. Il est donc essentiel pour les utilisateurs de l’EDI de choisir un fournisseur ayant un profil de cybersécurité solide. 

Quels contrôles de cybersécurité devez-vous rechercher chez un fournisseur d’EDI ? 

Une plateforme EDI sécurisée, fiable, évolutive et conforme pour l’échange de données critiques avec les partenaires commerciaux est fondamentale pour les opérations de la chaîne d’approvisionnement, sans parler de la tranquillité d’esprit des dirigeants.   

Voici quelques-uns des moyens utilisés par les principaux fournisseurs EDI pour assurer une protection de bout en bout des données sensibles :  

• Hébergement dans des centres de données redondants de niveau 3+. 
• Mirroring et réplication des données en temps réel pour minimiser le risque de perte de données ou de temps d’arrêt, tout en permettant une récupération efficace en cas de sinistre. 
• Des contrôles de sécurité informatique qui satisfont ou dépassent les exigences de normes complètes de cybersécurité telles que SOC 2 ou ISO 27001. 
• Chiffrement des données en transit et au repos. 
• Mise en œuvre du cryptage pour tous les mots de passe de connexion au portail, garantissant la conformité avec des politiques de sécurité solides. Il s’agit notamment de la longueur minimale des mots de passe, de l’utilisation de caractères spéciaux, de restrictions sur la réutilisation des mots de passe précédents et de l’obligation de changer de mot de passe après une période de temps définie. 
• Un pare-feu dédié à l’application EDI qui contrôle strictement l’accès au service EDI et bloque instantanément tout événement non conforme à votre politique EDI. 
• Une piste d’audit complète pour toutes les transactions et des capacités de reporting pour garantir la transparence. 
• Surveillance et enregistrement 24 heures sur 24 et 7 jours sur 7 du réseau EDI afin de garantir la fluidité des transactions. 
• SDisponibilité du service avec Temps de disponibilité de 99,9+%. 
• Un service et une assistance 24 heures sur 24 et 7 jours sur 7 pour garantir que les problèmes sont résolus rapidement et pour aider à prévenir les incidents de cybersécurité potentiels et d’autres problèmes d’escalade. 

Le cryptage généralisé des données est probablement la capacité la plus essentielle pour sécuriser l’EDI. Même si des pirates informatiques pénètrent dans votre réseau d’entreprise et accèdent à vos serveurs, vos données EDI cryptées resteront en sécurité. 

Les pare-feu applicatifs sont un autre élément clé de la sécurité de l’EDI. Comme le pare-feu sait exactement quelles informations les documents EDI peuvent contenir en toute sécurité, il peut bloquer de manière proactive les logiciels malveillants, les scripts militarisés et autres contenus suspects, stoppant ainsi les cyberattaques dans leur élan.  

Avantages d’un service géré pour l’EDI en matière de cybersécurité 

Pour les organisations qui ne disposent pas d’une expertise approfondie en matière de cybersécurité, un autre moyen de protéger les données sensibles est de choisir un service géré d’EDI plutôt que de gérer l’EDI en interne.  
 
L’externalisation auprès d’un fournisseur de services gérés EDI peut faire de l’EDI un avantage concurrentiel en fournissant toute l’expertise et l’infrastructure nécessaires, réduisant ainsi la complexité et les coûts informatiques tout en vous permettant de vous concentrer sur vos points forts et de développer votre activité.  
 
L’un des principaux avantages d’un service géré EDI est de réduire votre empreinte en matière de cybersécurité. Les entreprises sont toujours responsables de leurs propres contrôles internes de cybersécurité, tels que l’authentification multifactorielle (MFA), la formation à la sensibilisation à la sécurité et l’accès basé sur les rôles. Mais un fournisseur de services EDI gérés prend généralement en charge toutes les responsabilités en matière de cybersécurité associées à l’infrastructure informatique en nuage sur laquelle fonctionne votre EDI, y compris les serveurs et le stockage où résident vos documents EDI, ainsi que les éléments du réseau qu’ils traversent. 
 
L’EDI hébergé et basé sur l’informatique en nuage offre également de nombreux autres avantages, notamment une meilleure protection des données :  

• Réduire les coûts d’exploitation et d’investissement en éliminant la nécessité de déployer et de gérer une infrastructure informatique sur site. 
• Évolutivité dynamique des ressources pour prendre en charge automatiquement les volumes de transactions croissants sans intervention manuelle.  
• Accès à tout moment et en tout lieu à votre plateforme EDI basée sur le cloud via une connexion internet. Cela facilite le travail à distance, favorise la collaboration entre les équipes virtuelles et améliore l’agilité globale de l’entreprise. 
• La possibilité d’une intégration transparente avec un environnement ERP basé sur le cloud. L’intégration EDI/ERP élimine la ressaisie manuelle des données relatives aux commandes, aux clients et/ou au suivi, ce qui permet de réduire les délais d’exécution, d’éliminer les erreurs et d’améliorer l’expérience des clients. 
• Une approche rationalisée de la mise à niveau et de l’intégration d’autres domaines de la technologie de votre chaîne d’approvisionnement. En particulier, la mise en œuvre d’une solution d’inventaire géré par le fournisseur(VMI) basée sur le cloud peut réduire les risques multiples de la chaîne d’approvisionnement, y compris les risques liés à l’inventaire et à la cybersécurité, en créant des flux de travail plus avancés, plus efficaces et plus sûrs.  

Que peuvent faire d’autre les responsables de la chaîne d’approvisionnement pour réduire les risques liés à la cybersécurité ? 

Si les améliorations technologiques telles que l’EDI hébergé et le VMI peuvent constituer un moyen efficace de réduire les risques liés aux cyberattaques et autres perturbations de la chaîne d’approvisionnement, les entreprises doivent également envisager de renforcer leurs processus internes afin d’éliminer les lacunes en matière de protection.  

Voici quelques-unes des meilleures opportunités qui s’offrent à vous : 

• Mettre en œuvre l’AMF sur les réseaux et pour tous les systèmes qui traitent des données sensibles. 
• S’assurer que vos sauvegardes sont à l’abri des attaques de ransomware et d’autres sources d’exfiltration, de corruption et de perte de données. 
• Chiffrer les données sensibles où qu’elles se trouvent dans les systèmes internes. 

• Vers des pratiques de « confiance zéro » telles que la segmentation du réseau et l’accès au moindre privilège. 
• Suivre et auditer les processus clés qui impliquent des données sensibles conformément aux normes réglementaires. 
• Adopter des processus de gestion des risques fondés sur les meilleures pratiques afin de soutenir la continuité des activités. 
• Effectuer régulièrement des évaluations de la vulnérabilité et des tests de pénétration pour s’assurer que votre environnement informatique reste sûr au milieu des changements constants. 
• Élaborer un plan de réponse aux incidents afin de réduire l’impact des incidents de cybersécurité. 
• Fournir au personnel une formation continue de sensibilisation à la cybersécurité afin de réduire l’efficacité du phishing et d’autres attaques d’ingénierie sociale. 

• Établir des partenariats avec des fournisseurs qui respectent des normes de cybersécurité élevées et valider régulièrement les mesures de cybersécurité de vos fournisseurs essentiels à l’aide de questionnaires ou d’autres méthodes. 

Quelle est la prochaine étape ? 

Pour en savoir plus sur la manière dont les organisations homologues abordent les risques liés à la chaîne d’approvisionnement, cliquez ici pour télécharger le rapport sur les tendances de la chaîne d’approvisionnement 2024.