Solutions et techno

Orange : « En matière de cybersécurité il est nécessaire de penser entreprise étendue »

Par Guillaume Trecan | Le | It

Patrick Guyonneau, directeur sécurité du groupe Orange, explique en quoi la structure de plus en plus élargie des prestataires supply chain de l’entreprise constitue une fragilité à prendre en compte dans la lutte contre les risques cyber. Il sera l’un des intervenants du prochain dîner du Club Supply Chain, le 30 novembre à Paris.

Patrick Guyonneau, directeur sécurité groupe Orange. - © D.R.
Patrick Guyonneau, directeur sécurité groupe Orange. - © D.R.

Dans quelle mesure la supply chain est-elle impactée par les risques cyber ?

Si l’on considère une chaîne de valeur comme une pyramide ayant à son sommet un grand maître d’œuvre ou intégrateur et à sa base différents rangs de sous-traitance, plus on se déplace vers le bas de de cette pyramide, plus les entreprises sont petites et spécialisées, moins elles auront conscience du risque cyber ou les moyens de s’en prémunir. Plus l’entreprise est grande, de taille mondiale, avec beaucoup de sites, de réseaux IT, plus la surface d’attaque est importante. Or les cybercriminels ont des démarches probabilistes. Ils misent sur le fait qu’en envoyant un million de mails, ils ont plus de chance qu’un distrait clique sur le lien porteur d’un virus. Ils savent également que des entreprises très structurées ont les moyens de bloquer ce type d’attaques. Ils pratiquent donc la latéralisation. Ils ciblent plutôt le sous-traitant de rang 2 ou 3, connectée au système d’information de l’entreprise qu’ils veulent attaquer. C’est pour cela qu’en matière de cybersécurité il est nécessaire de penser entreprise étendue : les collaborateurs permanents ou ponctuels, les prestataires et les entreprises tierces connectées au système d’information.

Quand un sous-traitant de la logistique a un problème, c’est tout simplement un pan entier de l’activité qui s’arrête

Le fait que les flux physiques de la supply chain se doublent de plus en plus de flux digitaux constitue-t-il un élément supplémentaire de risque ?

Les entreprises sont de plus en plus en flux tendus et elles externalisent énormément d’activités. Elles sont de plus en plus dépendantes des prestations de tiers. Pour que ces prestations soient efficaces, les sous-traitants ont des accès aux systèmes d’information de l’entreprise cliente. La question se pose donc de la sécurisation de ce flux d’informations entre le donneur d’ordres et le sous-traitant de rang 1 ou 2. En outre, dans ce système en flux tendu, quand un sous-traitant de la logistique a un problème, c’est tout simplement un pan entier de l’activité qui s’arrête, ou bien parce que l’usine n’est pas approvisionnée, ou parce que le client n’est pas livré.

La supply chain connaît un foisonnement d’innovation et voit naître de nombreuses startups dont les solutions sont digitales. Est-ce également une typologie d’entreprises particulièrement fragiles ?

Le time-to-market est un sujet important pour les startups. Elles doivent grandir vite pour ne pas mourir. Elles ne prennent donc pas toutes les précautions nécessaires, ce qui peut se ressentir dans la qualité du code. Ce sujet ne concerne d’ailleurs pas uniquement les startups. Le foisonnement des nouvelles solutions augmente également la surface d’attaque. Plus on développe une cascade de sous-traitants plus on ajoute de la fragilité.

Nous savons imposer des exigences à nos sous-traitants directs, mais peuvent-ils nous garantir qu’ils sont capables de faire redescendre ces exigences jusqu’au rang 10

Nous savons imposer des exigences à nos sous-traitants directs, mais peuvent-ils nous garantir qu’ils sont capables de faire redescendre ces exigences jusqu’au rang 10. La relation léonine du donneur d’ordres au fournisseur ne fonctionne pas, plutôt que de dire « tu dois », il convient de dire « je t’accompagne pour faire ». Mais il est difficile d’accompagner au-delà du rang 2 ou 3.

Mettre en place des architectures dites  « zéro trust » peut être une solution. Cela implique qu’à chaque connexion l’identité de la personne et ses droits soient vérifiés. Dans le cas d’opérations Machine to Machine, cela implique la mise en œuvre de systèmes compliqués d'échanges de certificats. Ces démarches ne sont pas très naturelles pour des startups qui mettent essentiellement en avant la fluidité d’usage de leurs solutions Saas et c’est forcément compliqué pour elles de s’adapter à chacun de leur client.

Y a-t-il un intérêt à faire des démarches collectives par filière ?

Ces démarches sont pour l’instant insuffisantes mais, en effet, aller collectivement vers nos sous-traitants de rang 2 aurait du sens. Nous avons ainsi mené une démarche collective à plusieurs groupes du CAC40 pour faire auditer et noter nos fournisseurs par Cybervadis. Nous ne pouvons pas demander aux fournisseurs de répondre à autant de questionnaires qu’ils ont de donneurs d’ordres. Quand un sous-traitant majeur est en difficulté, ce sont tous ses clients qui sont en difficulté. La cyber-sécurité est un sujet collectif.

Que recommandez-vous en termes de prévention et de correction lorsque le problème est survenu ?

Regarder les causes des attaques cyber peut aider. La plupart du temps, les cyber-criminels mènent des démarches industrialisées qui ciblent l’humain. La première des mesures à prendre consiste donc à faire de l’humain le premier rempart en matière de cybersécurité. Il faut entraîner régulièrement ses collaborateurs. Le deuxième sujet porte sur la qualité du code, pas seulement à l’instant T mais également dans la durée, dans la gestion des correctifs. L’éditeur et l’administrateur doivent être capables d’aller vite pour corriger et déployer la correction dès qu’une vulnérabilité est identifiée.

Si l’un de nos fournisseurs à un problème, nous n’allons pas l’enfoncer, au contraire. Nous avons tous intérêt à ce qu’il s’en sorte, et s’en sorte vite

Une fois que l’entreprise est en crise - cela arrive même aux meilleurs, aucune grande entreprise ne peut dire qu’elle n’a pas été victime d’une cyberattaque - elle doit le dire tout de suite à son écosystème pour éviter que cela se propage. Si l’un de nos fournisseurs à un problème, nous n’allons pas l’enfoncer, au contraire. Nous avons tous intérêt à ce qu’il s’en sorte, et s’en sorte vite. Une cyber-attaque qui tourne mal signifie des pertes d’exploitation et aussi, potentiellement la mort d’un sous-traitant. Dans 60 % des cas, une PME cyber-attaquée meurt dans l’année, d’après un rapport de l’ONU.

 

Pour demander une participation au prochain dîner du Club Supply Chain, c’est ici.