Les cyberattaques contre la chaîne d’approvisionnement et de sous-traitance des entreprises (supply-chain) représentent un risque récent, aux conséquences potentielles systémiques. En effet l’attaque peut transformer le fournisseur , le prestataire de services en « cheval de Troie » involontaire.
Le risque est difficile à contrôler puisqu’il peut provenir d’un nombre important de partenaires de l’entreprise, de taille et de capacité en cyberdéfense variées.
Le risque est tellement critique que l’Union Européenne, au travers de la directive NIS2, et du règlement DORA applicable au secteur financier et bancaire entend le contrôler.
Un livre blanc sur le sujet
L’éditeur Board of Cyber vient de réaliser un livre blanc, synthèse de son étude, à partir d’ un panel d’entreprises, visant à mieux comprendre leurs attentes face à ce risque. L’étude révèle qu’une entreprise interrogée sur deux compte modifier son approche , dans la perspective de ces nouvelles réglementations.
« L’étude souligne également à quel point les entreprises sont en attente de solutions nouvelles, au-delà des outils qu’elles utilisent déjà. La demande de rationalisation et d’automatisation est forte et les équipes de Board of Cyber sont mobilisées pour travailler à des réponses opérationnelles », commente Luc Declerck, Directeur général de Board of Cyber.
Quelques leçons de l’étude:
-90% des décideurs interrogés s’estiment concernés , mais à des degrés divers. La moitié (49%) qualifient le risque cyber fournisseurs de « très important » , et 41% d’ « important »
-ce sont les RSSI qui sont en charge de ce risque dans 80% des entreprises interrogées, le service Achat est impliqué dans 40% des cas.
– Avec quel rythme le risque fournisseurs est il analysé ? Dans 60 % des entreprises interrogées, la fréquence d’analyse du risque cyber fournisseurs est encore annuelle. Le rythme est semestriel pour 10 % des entreprises, trimestriel pour 16 % d’entre elles et mensuel dans 10 % des cas. Une seule entreprise du panel a déclaré mener cette analyse de façon journalière.
Plus d’une entreprise interrogée sur deux va modifier son approche du risque fournisseur
L’étude indique que 52 % des entreprises interrogées vont modifier leur approche du risque fournisseur dans le cadre des nouvelles réglementations NIS 2 et DORA. Cela prendra la forme d’un renforcement du suivi du risque, d’un effort de documentation, d’une augmentation du nombre d’audit sur davantage de fournisseurs ou de la mise en œuvre d’une méthode d’évaluation systématique, impliquant toutes les parties prenantes dont les achats
Le Panel : Board of Cyber a mené cette étude auprès d’une trentaine d’entreprises de l’industrie et des services, dont 18 gèrent plus de 1 000 fournisseurs
Télécharger l’étude.