Skip to main content
Marsh logo

Article

Stratégies efficaces de gestion des cyberincidents pour la résilience de la chaîne d’approvisionnement

Découvrez des stratégies efficaces de gestion des cyberincidents pour la résilience de la chaîne d'approvisionnement. Apprenez à évaluer les risques, à améliorer la sécurité et à vous préparer aux cybermenaces.

12/24/2024 · Lecture de 4 minutes

La prolifération des systèmes numériques permet aux entreprises d’accroître leur productivité, de stimuler la communication et de favoriser l’innovation. Les entreprises sont de plus en plus interconnectées et dépendent de technologies interdépendantes. Toutefois, comme pour toute nouvelle technologie, les chaînes d’approvisionnement numériques associées s’accompagnent de leur propre lot de risques et de défis, augmentant la surface d’attaque des cybermenaces que les acteurs malveillants cherchent à exploiter. Au cours des derniers mois et des dernières années, nous avons vu de nombreux exemples et une fréquence croissante d’incidents liés à la chaîne d’approvisionnement.

Voici quelques scénarios récents concernant des clients européens de Marsh

Atteinte à la protection des données d’un tiers

Une entreprise fait appel à un fournisseur tiers pour l’hébergement de services B2C, y compris le stockage des données personnelles des clients. Une faille chez le fournisseur de logiciels tiers a conduit à l’exposition des données personnelles des clients. L’entreprise a dû se conformer à ses obligations légales, aviser les clients concernés et communiquer avec eux, et collaborer avec le fournisseur pour contenir l’incident.

Attaque par rançongiciel d’un fournisseur de services en nuage

Une autre entreprise a conclu un contrat avec un fournisseur externe pour héberger son système critique de planification des ressources de l’entreprise (PRE). Lorsque le fournisseur a été victime d’une attaque par rançongiciel, les cybercriminels ont chiffré ses systèmes. Cela a entraîné une panne du système PRE de l’entreprise, provoquant d’importantes interruptions d’activité. Les retards dans le traitement des commandes et la gestion des stocks qui en ont résulté ont finalement eu une incidence négative sur les calendriers de production et la satisfaction des clients.

Gestion de vos risques

La clé de la résilience de la chaîne d’approvisionnement numérique réside dans la compréhension de l’ensemble de l’écosystème des risques. Cela signifie qu’il faut identifier et évaluer les risques potentiels de toutes les sources, y compris les fournisseurs de services technologiques tiers, les logiciels, le matériel, les plateformes, les entrepôts de données et les partenaires d’affaires comme les clients et les fournisseurs.

La gestion des risques est un élément essentiel de ce processus. C’est pourquoi la stratégie numérique de l’Union européenne, en particulier la directive sur les réseaux et les systèmes d’information, introduit des considérations réglementaires importantes pour les entreprises en ce qui concerne la sécurité de la chaîne d’approvisionnement. Cette directive souligne la nécessité pour les organisations d’évaluer et de gérer les risques non seulement au sein de leurs propres activités, mais aussi tout au long de leur chaîne d’approvisionnement. Les entreprises sont tenues de mettre en œuvre des mesures de sécurité robustes, de procéder à des évaluations régulières des risques et de s’assurer que leurs fournisseurs et partenaires adhèrent à des normes similaires.

La planification des interventions en cas de cyberincident est également essentielle pour atteindre une résilience globale en matière de cybersécurité. Dans le contexte de la chaîne d’approvisionnement numérique, les pratiques exemplaires sont similaires à celles de la réponse « traditionnelle » aux incidents liés à la sécurité de l’information. Il s’agit notamment de détecter, d’analyser et de contenir les incidents le plus rapidement possible afin de minimiser leur incidence sur l’entreprise. Cependant, les incidents liés à la chaîne d’approvisionnement numérique peuvent être particulièrement difficiles à détecter, à analyser et à contenir, et les délais peuvent être différents de ceux des incidents traditionnels. Il est important d’élaborer un plan d’intervention en cas d’incident qui les prenne spécifiquement en compte.

Assurez-vous d’être préparé

Pour planifier efficacement les incidents liés à la chaîne d’approvisionnement numérique, les entreprises doivent envisager de prendre les mesures suivantes, en plus des pratiques exemplaires générales :

  1. Élaborer un plan complet d’intervention en cas d’incident qui traite spécifiquement des incidents liés à la chaîne d’approvisionnement numérique. Ce plan doit comprendre des procédures détaillées d’intervention en cas d’incident et des processus de recours hiérarchique.
  2. Effectuer régulièrement des tests et des exercices de simulation, y compris des scénarios d’incident dans la chaîne d’approvisionnement, pour vous assurer que votre plan d’intervention en cas d’incident est efficace et à jour. Réalisez ces scénarios avec les principaux fournisseurs et partenaires afin que toutes les parties prenantes externes soient informées et formées à ce type de situations.
  3. Inclure des clauses de signalement des incidents dans les ententes contractuelles avec les partenaires d’affaires pertinents (fournisseurs, clients, fournisseurs de services).

Cinq conseils pour gérer les risques liés à la chaîne d’approvisionnement

Vous trouverez ci-dessous cinq des mesures les plus importantes que vous pouvez prendre pour vous assurer que votre entreprise est résiliente face aux risques liés à la chaîne d’approvisionnement :

  1. Faire preuve de diligence raisonnable lors de la sélection de fournisseurs de services technologiques tiers, y compris les fournisseurs de services gérés, afin de s’assurer qu’ils ont mis en place des mesures de sécurité solides.
  2. Mettre en œuvre des contrôles d’accès stricts et un chiffrement des données pour protéger les données sensibles stockées dans votre chaîne d’approvisionnement numérique.
  3. Évaluer et mettre à jour régulièrement votre stratégie de gestion des risques pour faire face aux nouvelles menaces et vulnérabilités.
  4. Établir des obligations contractuelles claires avec vos partenaires d’affaires, y compris les clients et les fournisseurs, pour vous assurer qu’ils mettent également en œuvre des mesures de sécurité efficaces.
  5. Mettre en œuvre un programme complet de formation à la cybersécurité pour tous les employés afin d’accroître leur sensibilisation et de réduire le risque d’erreur humaine, et collaborer avec vos partenaires d’affaires pour faire de même.

Pour en savoir plus sur la façon dont nous pouvons aider votre organisation à se préparer aux cyberévénements et à définir un cadre de gestion des cyberrisques de tiers, communiquez avec votre représentant de Marsh ou communiquez avec nous dès aujourd’hui.

Communiquez avec nous

Actualités connexes

Placeholder Image

Article

Gérer les réclamations pour pertes d’exploitation : optimiser la reprise après une cyberattaque

12/24/2024
Road to nowhere. A drone view down to red car driving through a road between pine trees covered with snow.

Rapport

Rançongiciel : un défi persistant dans les réclamations en cyberassurance

12/09/2024
Business Colleagues Walking

Article

Mettre l’accent sur la préparation : le rôle des communications hors bande dans l’intervention en cas de cyberincident

11/11/2024
Robot hand ai artificial intelligence assistance for medical healthcare practices operation surgical performance, unity with human and ai concept, with graphical icon display blue banner background

Article

«Intervention humaine» dans la gestion des risques liés à l’IA – pas une panacée

09/01/2024
En voir plus