La supply chain : une cible de choix pour les cyber-pirates

L’automatisation des processus de production exige d’investir dans des capacités de détection adaptées afin de superviser le bon fonctionnement des équipements qui s’appuient sur des infrastructures informatiques pas toujours suffisamment sécurisées.

Connaître sa chaîne de production

Les systèmes d’information irriguent désormais les organisations : la numérisation des processus de production et de livraison est devenue la condition indispensable à la compétitivité des entreprises. Elles gagnent en agilité et peuvent accroître leurs capacités opérationnelles. Ainsi, les plages horaires de travail s’étendent, les volumes peuvent augmenter et les flux de fabrication s’accélérer. À l’initiative des équipes métiers, la priorité est souvent accordée à la mécanisation des activités de manière à faire face aux nouvelles formes de concurrence. La prise en compte de la cybersécurité n’est pas encore systématiquement considérée comme une priorité lors de la conception de ces déploiements technologiques.

Pourtant, la continuité et la qualité des activités peuvent être rapidement et gravement fragilisées par des cyberattaques, ciblées ou non. Le gouvernement britannique a réalisé une étude (voir illustration ci-dessous) en mars 2020 qui illustre la prise en compte encore limitée de la cybersécurité dans les activités de supply chain. Avec, assez logiquement, un avantage pour les grands groupes qui sont plus familiers avec cette problématique.

Source : Enquête 2020 sur les failles en cybersécurité, Département du numérique, de la culture, des médias et du sport, Programme de cybersécurité nationale au Royaume-Uni, mars 2020.

L’ingénierie sociale comme préalable au piratage

Les attaquants optimisent leurs chances de réussite en préparant leurs opérations en amont. En identifiant les fournisseurs, les sous-traitants, les technologies déployées dans l’entreprise avec la précision sur les versions effectivement utilisées grâce aux fiches de poste des annonces de recrutement ou aux profils LinkedIn de son équipe informatique, où chacun/e détaille les technologies qu’il/elle utilise au quotidien.

Grâce à ces investigations facilement accessibles, le pirate disposera d’une cartographie assez précise de sa cible et de son réseau de partenaires. Lui permettant de frapper au cœur de leur activité économique : la prise de contrôle de la supply chain est de nature à paralyser l’ensemble de l’entreprise. Avec des impacts financiers sur les ventes et une possible mise en cause de sa responsabilité par les parties prenantes de son écosystème industriel ou commercial. De quoi placer désormais la cybersécurité parmi les priorités des équipes de direction.

 

Nicolas Arpagian - VP Strategy & Public Affairs Orange Cyberdefense

Il est enseignant à l’Ecole Nationale Supérieure de la Police (ENSP) et intervenant à l’Ecole Nationale de la Magistrature (ENM) et à l’Ecole Nationale d’Administration (ENA). Nicolas est Administrateur du programme gouvernemental Cybermalveillance.gouv.fr et de l’Alliance pour la Confiance Numérique (ACN). Il est membre du Conseil d’orientation de l’Institut Diderot. Il a fondé et dirigé le Cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ), établissement public auprès du Premier ministre. Nicolas est l’auteur d’une quinzaine d’ouvrages parmi lesquels :

- « La Cybersécurité » dans la collection Que Sais-Je ? aux Presses Universitaires de France (PUF).
- « Quelles menaces numériques dans un monde hyperconnecté ? », Institut Diderot, 2018.
- « L’Etat, la Peur et le Citoyen », Editions Vuibert
- « La Cyberguerre – La guerre numérique a commencé », Editions Vuibert.
- « Pour une stratégie globale de sécurité nationale », Editions Dalloz.
- « Liberté, Egalité… Sécurité », Editions Dalloz.