Suivez nous sur

Surveillance continue : combler les lacunes en matière de sécurité dans la gestion des risques fournisseurs

Des leaders d'opinion

Surveillance continue : combler les lacunes en matière de sécurité dans la gestion des risques fournisseurs

mm
Publié

Les chaînes d'approvisionnement sont le ciment de l'économie mondiale. Elles constituent également une source importante de risques cybernétiques pour les entreprises. Les attaques contre les fournisseurs ont bondi de 431 % entre 2021 et 2024. On s'attend à ce qu'ils le fassent et que cette hausse se poursuive. C'est une mauvaise nouvelle pour les entreprises avec lesquelles ils font affaire. IBM estimations La compromission d'un fournisseur tiers est liée à l'un des coûts de violation de données les plus élevés de tous les types d'incidents : 4.9 millions de dollars par violation.

Le défi pour les responsables de la gestion des risques et de la cybersécurité réside dans l'imperfection des mécanismes de gestion des risques existants. Ces mécanismes peuvent être lents, gourmands en ressources et présenter de nombreuses lacunes. Une véritable gestion des risques fournisseurs repose sur une surveillance et un contrôle continus.

La croissance irrésistible des chaînes d'approvisionnement

La complexité et la fragmentation des chaînes d'approvisionnement sont le prix à payer pour le commerce mondial. Au cours de la dernière décennie, elles se sont développées pour répondre à la demande croissante des consommateurs, qui réclament plus de choix et des prix plus bas, sous l'impulsion de l'essor du commerce en ligne. Parallèlement, les chaînes d'approvisionnement numériques ont elles aussi connu une croissance fulgurante, grâce à la prolifération des logiciels en tant que service (SaaS), des fournisseurs de services gérés (MSP) et à la nécessité pour les entreprises de trouver des méthodes de travail plus innovantes et plus efficaces.

Le résultat ? Une opacité là où il devrait y avoir de la transparence, et une augmentation des risques commerciaux susceptibles de compromettre les bénéfices et la fidélité durement acquise de la clientèle. estimationMême une PME moyenne compte 800 fournisseurs. Si l'on compte les fournisseurs de ces fournisseurs, Les chiffres atteignent bientôt dans des milliers d'entreprises.

Une entreprise risquée

C’est une mauvaise nouvelle pour les RSSI et leurs équipes, qui doivent trouver un moyen de gérer les risques de cybersécurité inévitables liés aux chaînes d’approvisionnement complexes. Selon IBM, les compromissions de fournisseurs et de chaînes d’approvisionnement ont été responsables de 15 % des violations de données l’an dernier. Verizon Selon certaines sources, ce chiffre aurait en réalité doublé au cours de l'année écoulée pour atteindre 30 %. Quel que soit le chiffre exact, les incidents concrets illustrent clairement les dégâts qu'ils peuvent causer.

Des tiers, tels que des entreprises d'externalisation et des cabinets de services professionnels, peuvent stocker des identifiants d'accès et autres données hautement sensibles appartenant à leurs clients. Il peut s'agir d'informations personnelles hautement réglementées concernant les clients et les employés, ou encore de propriété intellectuelle, de secrets commerciaux ou de données financières non publiques. Autant de données qui attirent les cybercriminels, susceptibles de les voler et/ou de les chiffrer pour obtenir une rançon. Selon [référence manquante], les violations de données chez des tiers ont représenté plus des deux cinquièmes (41 %) des attaques par rançongiciel en 2024. une étude.

Avec la multiplication des fournisseurs, le risque de fraude en entreprise, notamment par compromission de messagerie professionnelle (BEC), augmente également. Des cybercriminels peuvent envoyer un courriel d'hameçonnage à un membre de l'équipe financière, voire à un cadre supérieur, exigeant le paiement d'une facture inexistante. Ils augmentent leurs chances de succès en piratant les comptes de messagerie des clients et des fournisseurs afin de surveiller les communications et de comprendre le format des factures. Pertes liées à la BEC signalé au FBI L'an dernier, les fraudes ont atteint près de 2.8 milliards de dollars, ce qui en fait le deuxième type de cybercriminalité le plus lucratif.

Il y a ensuite les fournisseurs de fournisseurs. 2023 rapport L'étude affirme que la moitié des organisations interrogées entretenaient des relations indirectes avec au moins 200 tiers ayant subi des violations de données au cours des deux dernières années. Plus le fournisseur est petit, moins il dispose de ressources à consacrer aux meilleures pratiques en matière de cybersécurité.

L'IA est un cadeau pour les hackers

Les cybercriminels exploitent de plus en plus l'intelligence artificielle pour améliorer leurs taux de réussite. En effet, des experts du gouvernement britannique affirment le contraire. averti cette année que cette technologie « continuera très certainement à rendre certains aspects des opérations d'intrusion cybernétique plus efficaces et efficients ».

On le constate notamment dans la manière dont l'IA générative permet de créer des campagnes d'hameçonnage dans des langues locales naturelles et impeccables. Elle aide également les acteurs malveillants à identifier les failles des systèmes et à sélectionner leurs cibles. Enfin, elle pourrait même contribuer à la création de logiciels malveillants et d'exploits. C'est pourquoi, selon le rapport, l'IA entraînera « une augmentation de la fréquence et de l'intensité des cybermenaces » au cours des deux prochaines années.

Selon le type et l'ampleur de l'incident de sécurité, les conséquences pour les clients d'un fournisseur compromis vont des dommages financiers et de réputation aux risques réglementaires et aux perturbations opérationnelles. Plus un incident reste longtemps non détecté, plus les acteurs malveillants disposent de temps au sein du réseau et, au final, plus les coûts de nettoyage et de rétablissement seront élevés. Malheureusement, d'après IBM, les compromissions de la chaîne d'approvisionnement sont les plus longues à résoudre.

Un exemple frappant est la récente divulgation d'une importante faille de sécurité liée à un ransomware chez Conduent, fournisseur de services d'externalisation de processus métiers (BPO) générant plusieurs millions de dollars de revenus. Selon [source manquante], plus de 11 millions d'Américains pourraient avoir vu leurs numéros de sécurité sociale, leurs informations d'assurance maladie et leurs données médicales compromises. (lire ici)Et bien qu'ils n'aient été informés qu'en novembre 2025, on pense que l'environnement de l'entreprise était compromis dès octobre 2024.

Pourquoi la surveillance continue est importante

Heureusement, l'IA peut aussi aider les entreprises à surmonter les difficultés courantes liées à la gestion des cyber-risques fournisseurs. Trop d'organisations peinent à mettre en place des processus manuels lents et des questionnaires interminables, sources de retards et de zones d'ombre. L'hétérogénéité de la documentation fournisseur complique la comparaison des scores de risque au sein de l'écosystème et la compréhension des enjeux prioritaires pour l'entreprise.

En adoptant une approche axée sur les données et l'IA, les organisations peuvent automatiser les tâches les plus complexes, de l'intégration des fournisseurs jusqu'à la suite. Ce dernier point est crucial, car le risque persiste même après l'agrément d'un fournisseur. Il continue d'évoluer, potentiellement d'heure en heure, voire de jour en jour, à chaque nouvelle vulnérabilité logicielle, fuite de données ou compte mal configuré. Les fournisseurs peuvent investir dans de nouvelles infrastructures, augmentant ainsi leur surface d'attaque. Ils peuvent également ajouter leurs propres fournisseurs, modifiant leur exposition aux risques. Enfin, ils peuvent être la cible de nouvelles campagnes de cybercriminels.

Tout cela exige une approche plus proactive de la gestion des risques liés aux tiers, qui va au-delà de la simple collecte et du traitement des enquêtes et documents fournisseurs. Elle doit viser à identifier les risques en temps réel, afin que l'organisation puisse agir rapidement avant que des dommages ne surviennent.

Premiers pas avec l'IA

Pour obtenir une vision à 360 degrés et continue des cyber-risques fournisseurs, il est indispensable de disposer d'une grande quantité de données et d'algorithmes intelligents capables de détecter les comportements suspects. Plus les données sont de qualité, meilleure est la visibilité. Cela pourrait inclure des flux de renseignements sur les menaces qui analysent les forums du dark web à la recherche des premiers signes d'une intrusion, ou encore une surveillance des vulnérabilités qui met en évidence les mises à jour de sécurité manquantes chez les fournisseurs. Il pourrait également s'agir de détecter les preuves de compromission de messagerie au sein des services financiers des fournisseurs, ce qui pourrait indiquer des attaques BEC (Business Email Compromise) imminentes, voire des schémas de transactions suspects impliquant ces fournisseurs.

L'IA peut être utilisée pour identifier les risques critiques en temps réel, afin de prendre des mesures immédiates. Elle permet également d'attribuer automatiquement et en continu à chaque fournisseur un score de risque pondéré en fonction des politiques du client, de sa position et de son importance pour l'activité.

L'IA agentique peut également se révéler un allié précieux, capable d'ingérer et d'analyser de manière autonome des documents fournisseurs complexes, tels que les rapports SOC 2 et les politiques de sécurité internes, et de cartographier les contrôles selon des référentiels établis comme le NIST CSF ou l'ISO 27001. Elle permet ainsi d'obtenir une visibilité sur la conformité en quelques minutes seulement, au lieu de plusieurs heures, libérant du temps pour les équipes de sécurité et de gestion des risques afin qu'elles se concentrent sur des tâches à plus forte valeur ajoutée. Dans les organisations matures, les agents d'IA peuvent également intervenir de manière indépendante pour résoudre les problèmes courants, ou du moins les orienter vers le membre d'équipe compétent pour une prise en charge rapide.

Tout mettre ensemble

L'essentiel est de garantir l'unification de tout système de gestion des cyber-risques fournisseurs, afin d'éviter le cloisonnement et l'inutilisabilité des données. Idéalement, cette même plateforme permettrait également la gestion d'autres types de risques fournisseurs, notamment en matière de conformité, de développement durable, de finance et d'opérations. On obtiendrait ainsi les informations nécessaires à une meilleure prise de décision.

Avant tout, n'oubliez pas que le risque cyber est fondamentalement un risque d'entreprise. Il ne peut jamais être éliminé. Mais il peut être géré plus efficacement.

Rubriques connexes:
mm

En tant que directeur des systèmes d'information, Vishal Grover est responsable de la mise en place et du maintien d'un programme de sécurité de l'information et de gestion des risques à l'échelle de l'entreprise afin de garantir la protection des données de l'entreprise. apexanalytix et nos clients sont protégés.

Vishal possède plus de 20 ans d'expérience dans les technologies de l'information et a occupé de nombreux postes dans divers domaines tels que le développement d'applications, la gestion de bases de données, l'infrastructure informatique et la sécurité des systèmes d'information. Son expertise comprend la mise en œuvre de programmes répondant aux exigences évolutives en matière de sécurité et de conformité (SSAE18, PCI, cycle de vie de développement logiciel sécurisé, RGPD, reprise après sinistre) afin de garantir les plus hauts niveaux de sécurité, de performance et de disponibilité aux plus grandes entreprises mondiales.

Vishal est diplômé de l'Université de Delhi en commerce. Il possède également un diplôme supérieur en informatique de NIIT ainsi qu'une certification SUN.