Je tombe sur un rapport d'enquête sur le sujet de la gestion des risques de la chaîne d'approvisionnement de Gartner 2023. Il indique que "les attaques contre la chaîne d'approvisionnement sont en hausse, 63% des personnes interrogées déclarant que leur organisation a subi une attaque de la chaîne d'approvisionnement au cours de l'année écoulée".

Votre entreprise achète des produits et services de l'entreprise A, mais celle-ci achète ses produits et services d'entreprise B à qui elle dépend des services de l'entreprise C.

Des exemples concrets d'attaque sur la chaîne d'approvisionnement

L'incident Target de 2013 reste gravé dans les mémoires, où une violation de données a commencé par une attaque d'hameçonnage contre un sous-traitant HVAC.

En 2017, l'attaque informatique NotPetya a entraîné des pertes colossales pour l'entreprise Maersk.

Puis l'attaque de SolarWinds est l'un des exemples les plus connus d'une attaque de la chaîne d'approvisionnement.

Lien avec la norme ISO27001:2022

La nouvelle version de la norme ISO 27001:2022 met l'accent sur la gestion de la sécurité de l'information dans les relations avec les fournisseurs. Plus précisément, l'Annexe A contrôle 5.19, 5.20, 5,21 et 5.22 traites de la sécurité de l'information dans les relations avec les fournisseurs.

Suggestions d'actions à prendre pour gérer la chaîne d'approvisionnement

Identifier ses fournisseurs: obtenir la liste des fournisseurs, des produits, et des services que vous utilisez.

Déterminer les fournisseurs critiques: pour chaque fournisseur on se pose quelques questions minimales.

Identifier les risques: pour chaque fournisseur critique, on définit les dangers, les risques ou les menaces pouvant impacter ce fournisseur.

Valider le niveau de sécurité de ses fournisseurs : en nous assurant que les mesures de sécurité sont prises par nos fournisseurs.

Diversifier ses fournisseurs : compter sur un ou deux fournisseurs peut sembler pratique, mais mieux vaut répartir le risque.

Agir avant, pendant et après un incident est la clef d'une bonne gestion de la chaîne d'approvisionnement.