Accueil / Dossiers / Transversal / La supply chain face aux cyber-menaces

Transversal

La supply chain face aux cyber-menaces

24.05.2019 • 09h51
|
par Charlotte COUSIN
D_2

4. Une prise de conscience progressive

Les vagues de cyber-attaques (NotPetya et Wannacry) ayant émaillé l'année 2017 ont contribué, par leur pouvoir de nuisance extrême, à attirer l'attention des entreprises sur les enjeux d'une cybersécurité. Néanmoins, les plus petites d'entre elles peinent encore parfois à la mettre en place, nécessitant une sensibilisation et un accompagnement sur le sujet.

À la question « Quels sont selon vous les trois enjeux de demain pour l'avenir de la cybersécurité des entreprises ? », – posée à 174 répondants du Cesin (Club des experts de la sécurité de l'information et du numérique) par OpinionWay dans le cadre du Baromètre de la cybersécurité des entreprises de janvier 2019 –, « Mieux former et sensibiliser les usagers aux questions de cybersécurité », était cité par 61 % d'entre eux. Si la prise de conscience se fait de plus en plus prégnante, parfois même dans la douleur en travaillant sa résilience face à une attaque, la communication sur le sujet s'avère fondamentale. Emmanuel Gras, cofondateur et CEO d'Alsid, membre du Cesin, observe que le manque de connaissance sur la cybersécurité découle également d'une forme d'incompréhension sémantique entre le monde de l'informatique et celui des automatismes industriels : « Quand on parle de sécurité en informatique, on pense “attaquant malveillant cherchant à casser le système”. Quand on évoque ce terme de sécurité avec un automaticien il pense plutôt “sécurité de fonctionnement” non pas face à un événement malveillant mais aléatoire et il va donc surtout chercher à gérer l'aléa. Cela commence un peu à changer mais un travail d'écoute et d'échange reste à faire pour avoir cette définition commune et adopter les mêmes modèles de risque ».

 

Les entreprises de taille moyenne également visées

Le travail de communication qui doit s'opérer sur la cybersécurité inclut aujourd'hui tous les maillons de la chaîne, du grand groupe à la petite entreprise. Beaucoup de propriétés intellectuelles, de capacités de production et d'intérêts économiques existent en effet dans les PME et ETI françaises, en faisant un segment du marché à ne pas négliger, certaines d'entre elles possédant un intérêt stratégique et économique fort. Pourtant, ces petites et moyennes entreprises peuvent se sentir, à tort, hors de danger, sous la ligne de radar des attaquants. L'enquête Les dirigeants d'ETI face à la menace cyber menée par Bessé et PwC en mars 2018 faisait ressortir que 76 % des sondés déclaraient avoir subi au moins un incident cyber en 2017 mais que leur perception du risque et de son étendue s'avérait néanmoins relative pour leur propre entreprise, ceux-ci ne se sentant pas toujours directement visés en dépit des attaques. L'étude constate ainsi que les dirigeants d'ETI sont conscients de leur réelle impréparation à pouvoir gérer un incident cyber, 19 % des répondants déclarant même ne pas avoir mis du tout en place de stratégie de protection de l'information.

 

Pourtant ces entreprises de taille intermédiaire sont particulièrement visées par les ransomware : « Il ne faut pas penser que les attaques ciblées cybersécurité ne concernent que les grands groupes. Une ETI performante détient des informations, des savoir-faire qui sont différenciants sur le marché et donc intéressants à pirater », juge Philippe Trouchaud, associé PwC, spécialiste en cybersécurité. Cette prise de conscience doit être suivie d'une maîtrise du système d'information qui n'est pas toujours présente dans ces sociétés : « Elles ne savent pas exactement à qui s'adresser, elles ne sont pas dans la cible des grands intégrateurs de technologie. Elles ont du mal à accéder à la compétence, c'est-à-dire avoir des hommes et des femmes de l'art, comme des responsables sécurité, parce qu'elles n'ont pas spécialement la taille ni l'attractivité en termes de marque employeur pour recruter ce genre de profil », poursuit Philippe Trouchaud.

 

Une culture commune à apporter

Selon Olivier Lasmoles, professeur associé en droit et chef du département “Supply chain management et Sciences de la décision” à l'EM Normandie, « les petites entreprises qui représentent pourtant plus de 80 % du tissu économique français ne sont pas prises en compte dans toutes les stratégies cyber. Il est très difficile d'aller essaimer sur un territoire la bonne parole auprès de milliers de petites sociétés surtout quand celles-ci ne veulent pas communiquer. Dans la logistique, si vous êtes un transitaire, vous n'allez surtout pas aborder le sujet de la cybersécurité. Si vous commencez à en parler et à venir à des colloques c'est que vous cherchez des solutions, et si vous cherchez des solutions c'est que vous n'en avez pas et qu'il y a de potentiels problèmes. C'est le serpent qui se mord la queue… ». Comme bien souvent, la solution réside donc dans une culture commune à adopter à tout niveau de la chaîne logistique. Pour y parvenir et faire dialoguer entre eux les différentes parties prenantes, des associations, fédérations et clusters voient le jour, réunissant une communauté d'acteurs divers, parfois concurrents mais solidaires sur le sujet de la cybersécurité.

 

« Les entreprises de taille moyenne considèrent qu'elles sont exposées à une multitude de risques de manière continue et que certains sont plus importants que le risque cyber. En tant que risk manager, nous travaillons sur ce premier écueil et c'est également la nature de notre mission au sein de l'Amrae (l'Association pour le management des risques et des assurances de l'entreprise) : nous devons aider les risk managers à communiquer en interne auprès des dirigeants, sur la nature des expositions financières que l'entreprise peut être amenée à subir en cas d'attaque cyber », indique Philippe Cotelle, risk manager d'Airbus Defence & Space, président de la commission SI de l'Amrae, administrateur de la Ferma (Federation of europeans risk management associations).

 

Sensibilisation et pédagogie

Siemens a compris la nécessité du travail à réaliser en commun sur le sujet de la cybersécurité en lançant l'initiative Charter of Trust. « Sans sensibilisation, on ne s'en sortira pas. Qu'importe le vecteur, il faut former les gens dès le plus jeune âge », déclare Jean-Christophe Mathieu, coordinateur cybersécurité de Siemens France. Les grands groupes placés en haut de la chaîne logistique peuvent également jouer un rôle : en tant que donneur d'ordres, ils se doivent de sensibiliser leurs prestataires aux risques encourus : « Certains de nos sous-traitants pensent qu'ils ne risquent rien compte tenu de leur activité mais ils sont interconnectés avec nos systèmes d'information pour recevoir nos commandes. Une attaque de sécurité qui se produirait chez eux pourrait donc potentiellement remonter chez nous. C'est la raison pour laquelle nous mettons en place, tout autour du groupe, des outils de protection périmétrique nous permettant de nous protéger le plus possible d'un événement cyber susceptible de survenir via un partenaire co-traitant, sous-traitant ou fournisseur », poursuit Jean-Christophe Mathieu.

 

Des propos corroborés par Loïs Samain, RSSI adjoint du groupe EDF Renouvelables : « Nous avons un rôle à jouer en tant que grande société, pour aider nos sous-traitants, car certains d'entre eux, bien que tout petits, traitent des données très sensibles. Nous devons nous assurer de les accompagner, de les intégrer dans un programme de sensibilisation et ne pas hésiter à être disponibles pour eux car s'ils subissent un incident de sécurité, cela rebondira chez nous ».

SUIVEZ-NOUS
NEWSLETTER
Pour rester informé chaque semaine