La cybersécurité, nouveau cheval de bataille de la Supply Chain

De plus en plus sensibilisés aux nombreux risques de cyberattaques, les grands groupes du CAC 40 investissent en masse pour se préserver. Avec un résultat positif, puisque, les pirates cherchant la facilité, ils subissent de moins en moins leurs assauts, selon Benoît Bouffard, manager en cybersécurité chez Wavestone. Néanmoins, leur vulnérabilité ne s’est pas nécessairement atténuée. Se voulant plus agile et de plus en plus intégrée, la Supply Chain se digitalise à grande vitesse. Une tendance qui, de fait, l’expose à de nombreux risques de cyberattaques.

En englobant l’ensemble des tierces parties avec lesquelles une entreprise traite, à savoir fournisseurs, prestataires, sous-traitants, la Supply Chain s’imbrique dans un environnement interconnecté. Une nécessité, certes, qui réclame une vigilance de tous les instants, car entre les coûts de pertes d’exploitation, de gestion de crise et de remise à niveau, la note peut vite s’envoler.

Beaucoup d’acteurs impliqués engendrent beaucoup de portes d’entrée

En effet, à défaut d’être directement menacées, les grandes entreprises le sont à travers leurs nombreux fournisseurs de rang 1, 2, 3 et ainsi de suite. Pour l’un des intervenants, si la supply chain amont et aval est si exposée, c’est du fait de ce foisonnement de maillons dans son écosystème. « Entre les transporteurs, logisticiens, les fournisseurs, les commissionnaires en douane, la Supply Chain génère un nombre d’acteurs de plus en plus conséquent. De fait, elle fait face à de nombreux risques, chaque acteur constituant une porte d’entrée », explique Sébastien Marie, associé Wavestone expert en supply chain et co-rédacteur du livre blanc France Supply Chain sur la cybersécurité.

La multiplication des outils

À l’image du nombre de plus en plus importants d’acteurs, les outils digitaux se propagent en quantité au sein de la Supply Chain et de l’organisation dans son ensemble. Si bien qu’aujourd’hui la question n’est plus de savoir si une entreprise va se faire attaquer, mais bien quand. APS, OMS, TMS, WMS … les outils digitaux constituent autant d’interfaces possibles pour les cyber attaquants.

Il faut plutôt accompagner les métiers dans le déploiement de leurs outils

S’il n’est pas question de s’en priver, il est tout de même impératif de concevoir une architecture globale sécurisée, avec fourniture de passerelles pour interconnecter les outils au SI. « La digitalisation est nécessaire pour créer de la valeur. Nous n’avons pas besoin de prendre la posture du gendarme sévère bloquant tout. Il faut plutôt accompagner les métiers dans le déploiement de leurs outils », confirme l’un des convives.

Mieux compartimenter le risque

Le risque zéro n’existant pas, il est indispensable de traiter le risque dans une approche réfléchie et logique, car les acteurs maillant la Supply Chain n’affectent pas de la même manière l’écosystème. « Il faut bien réfléchir sur les menaces qui pèsent sur nous », assure l’un des invités. 

Les outils de l’entreprise doivent donc être mis à jour régulièrement pour prendre en compte les dernières menaces. Par ailleurs, les effets légaux n’étant pas négligeables, le besoin d’identifier les données sensibles est fondamental afin de se concentrer sur leur protection, en particulier dans le cadre du RGPD. 

Une question de technique, mais surtout une question d’humains 

Si les principales menaces auxquelles est confrontée la Supply Chain se concentrent sur des enjeux techniques (sécurité du code ou de composants des matériels et logiciels, authentification et gestion d’identité, paramétrage des outils de sécurité), elles concernent également le collaborateur. Il est indispensable d’informer ses équipes impliquées dans la Supply Chain, en les sensibilisant aux nombreux risques, mais aussi à l’importance grandissante du digital dans leurs métiers. « Le sujet de la sécurité ne concerne pas que les collaborateurs travaillant sur cette ligne de métier, mais bien tout le monde au sein de l’entreprise », clame l’un des convives. 

Du besoin d’entraîner ses collaborateurs

Une sensibilisation qui ne suffit pas, puisqu’elle doit s’accompagner de diverses formations aux outils digitaux afin d’appréhender la manière de les paramétrer et de les implémenter. Une approche qui nécessite évidemment de travailler en étroite collaboration avec son RSSI. Pour allier Supply Chain et cybersécurité, il est primordial d’acquérir une bonne connaissance des matériels, des logiciels et des choses à faire ou ne pas faire au quotidien. Appréhender les bases essentielles, comme ne pas tomber dans le piège du fishing, permettent de mettre en place une politique de sécurité informatique fiable. 

Des motivations en veux-tu, en voilà

Les batailles menées par les cyber attaquants revêtent diverses intentions. Les cyberattaques concernent l’ensemble du cycle de vie du produit, de sa fabrication/conception à sa vente et sa maintenance. Elles peuvent dès lors entraîner l’inaccessibilité des systèmes et des données, la corruption des données et des produits ou encore le vol de données. Les phénomènes de guerre économique, avec menace étatique ou concurrentielle sur fond d’espionnage industriel, sont aussi de plus en plus prégnants.

Le coût de la sécurité restera toujours inférieur au coût de la non-sécurité

Patrick Guyonneau, directeur de la sécurité du groupe Orange et intervenant au cours du débat, n’a en ce sens cessé d’appeler à la vigilance. Et pour cause, comme il le rappelle, citant un rapport de l’ONU, 60 % des PME victimes d’une cyberattaque meurent dans l’année. Par ailleurs, le coût d’une cyberattaque s’élève en moyenne à 4 millions de dollars. Le coût de la cyberattaque dont a été victime Camaïeu en 2021 est estimé à plus de 30 millions d’euros. Récemment, le constructeur automobile Toyota a vu deux de ses fournisseurs cyber-attaqués.

La cybersécurité a un coût, mais le coût de la non-sécurité sera toujours plus élevé que celui de la sécurité

Résultat des opérations ? Une journée de production en moins, 28 lignes de production touchées et 15 % de la production suspendue. Un exemple parmi tant d’autres prouvant qu’une cyberattaque touchant un tiers peut, si elle se propage, tout bonnement immobiliser les opérations d’un grand groupe. « La cybersécurité a un coût, mais le coût de la non-sécurité sera toujours plus élevé que celui de la sécurité. Être dans l’obligation d’arrêter les opérations est une catastrophe bien plus importante qu’une simple rançon, avec une incidence à moyen long-terme sur la production, le business », affirme Patrick Guyonneau. Une bonne nouvelle tout de même, alors que 115 jours étaient nécessaires pour détecter une cyberattaque il y a encore deux ans, il n’en faut plus que 35 désormais.