La cybersécurité dans la chaîne d’approvisionnement, une tendance croissante

24 oct. 2022

Luca Urcioli, professeur au MIT-Saragosse

PAR LUCA URCIUOLI
Professeur adjoint de Gestion de la Supply Chain au MIT-Saragosse

Les cybermenaces dans la chaîne d'approvisionnement préoccupent de plus en plus les entreprises. En 2021 seulement, les experts en sécurité des systèmes d’information ont détecté une hausse de 15,1 % du nombre de cyberattaques et de violations de données par rapport à l’année précédente.[1] Le chiffre devrait continuer à augmenter en raison des tendances florissantes telles que l’industrie 4.0 ou la numérisation des processus, adoptées par les entreprises à l’échelle globale. Les industries et les gouvernements du monde entier doivent gérer ces tendances avec prudence, en veillant à ce que les solutions et les stratégies visant à améliorer la sécurité et la robustesse de l’ensemble de la chaîne d’approvisionnement soient correctement mises en œuvre.

Pourquoi les cyberattaques ?

Les motivations des cyberattaques sont très diverses, on en distingue cependant trois raisons principales : économiques, idéologiques et géopolitiques. Les problèmes de sécurité tels que le vol et la contrefaçon dans les chaînes d’approvisionnement ne sont pas nouveaux pour les entreprises. Toutefois, le renforcement de la protection par des mesures de sécurité physique risque de déplacer les attaques vers des couches plus vulnérables, plus précisément aux systèmes d’information. À travers les cyberattaques, telles que la manipulation et la copie de données ou le sabotage de dispositifs de sécurité, il est plus facile pour les organisations criminelles de voler de l’argent ou tout autre actif, ainsi que d’attenter à la propriété intellectuelle.

Dans certains cas, les attaques sont perpétrées sur la base d’idéologies spécifiques –ce que l’on appelle hacktivisme– et envoient un message « pour perturber, embarrasser ou faire un exemple en punissant sa cible ou toute la population » (Urciuoli et al. 2013). Des cyberattaques ont été commises, par exemple, pour dénoncer les industries non respectueuses des politiques de durabilité. Le terrorisme et les idéaux religieux peuvent également être à l’origine d’attentats visant à punir des groupes de personnes, voire à plonger un pays dans la peur ou la panique.

Les tensions géopolitiques dégénèrent souvent en cyberguerre, où des groupes de hackers provoquent des dommages et perturbent les fonctions sociétales vitales. En Italie, les entreprises du secteur de l’énergie et de l’électricité ont récemment été victimes de cyberattaques ayant entraîné l’interruption de l’approvisionnement en gaz et en électricité. Par ailleurs, les braqueurs informatiques pourraient voler et collecter des informations sensibles auprès des pays ou utiliser les médias et les canaux de communication à des fins de propagande pour fragiliser les régimes en place.

Des attaques sophistiquées contre la chaîne d’approvisionnement

Une cybermenace est toute activité visant à mener des actions illégales contre les personnes ou les organisations au moyen d’ordinateurs, réseaux ou équipements matériels. Dans les entreprises, non seulement l’accès aux informations confidentielles des employés, des clients ou des fournisseurs peut être compromis, mais aussi la propriété intellectuelle, comme la conception de nouveaux produits.

La cybersecurité est essentielle au développement de l'industrie 4.0

Les brèches de sécurité informatique peuvent paralyser l’activité de toute entreprise, impactant la productivité, les ventes, l’exécution des commandes et la satisfaction client. Dans les cas les plus extrêmes, les pirates pourraient manipuler les PLC (Programmable Logic Controller) des usines de production, ce qui aurait un impact sur la qualité et la réputation de la marque, voire sur la sécurité sociétale.

Attaques isolées

Rétrospectivement, les hackers ont causé des dommages considérables en ciblant des nœuds isolés de la chaîne d’approvisionnement. Le 4 décembre 2020, par exemple, un groupe de pirates informatiques a attaqué PickPoint, une entreprise e-commerce spécialisée dans les casiers à colis. Elle disposait d’un réseau de 8 000 casiers repartis entre Moscou et Saint-Pétersbourg, dans des espaces ouverts à libre accès. Lors d’une cyberattaque, 2 732 casiers ont été forcés à Moscou et les colis volés, témoignant de la vulnérabilité des chaînes d’approvisionnement dans le dernier kilomètre.

Attaques de type extorsion de données

Une autre technique d’attaque des chaînes d’approvisionnement consiste à utiliser des logiciels malveillants (ransomware ou rançongiciel) dans le but d’infecter des ordinateurs interconnectés. En 2017, le virus NotPetya a compromis les systèmes du conglomérat logistique Maersk, s’est propagé par les industries et les ports maritimes et a infecté plus de 200 000 ordinateurs dans 150 pays. Les dommages ont été estimés à des milliards de dollars. Lorsque Maersk a réalisé la vitesse à laquelle le virus se propageait dans son réseau de partenaires et de clients, le groupe a décidé d’arrêter complètement ses systèmes d’information pendant trois jours. En conséquence, les terminaux portuaires ont été obligés d’interrompre leurs activités, des milliers de navires restant en attente sur les quais ou ancrés en mer.

Le virus NotPetya a eu un comportement similaire à celui de la cyberattaque WannaCry : il a bloqué l’accès aux ordinateurs en affichant le message d’erreur « un disque est défectueux et doit être réparé ». Une rançon a été demandé aux utilisateurs concernés pour déverrouiller les machines. Maersk a réussi à reconstruire l’ensemble de l’infrastructure informatique en 10 jours et à rétablir progressivement les opérations. Cependant, il a été estimé que le groupe a subi des pertes à hauteur de 300 millions de dollars ainsi qu’une détérioration incommensurable de sa réputation, notamment en raison de la couverture médiatique qui a suivi la cyberattaque.

Attaques contre la chaîne d’approvisionnement

Ces dernières années, les cyberattaques sont devenues plus complexes, leurs auteurs ayant pris conscience de l’importance de la chaîne d’approvisionnement pour les organisations ciblées. En conséquence, de nombreuses grandes entreprises ont renforcé leur protection contre les cyberattaques. Néanmoins, les hackers ont constaté que les petites entreprises faisant partie de la même chaîne d’approvisionnement sont plus vulnérables et peuvent leur servir de tremplin pour infecter leurs fournisseurs ou leurs acheteurs, y compris les grands groupes de vendeurs. Les cyberexperts ont inventé le terme supply chain attack pour catégoriser ces événements.

En 2020, des pirates informatiques ont réussi à infiltrer SolarWind, un fournisseur de solutions logicielles pour la supply chain. Ils ont introduit un virus de type backdoor (porte dérobée) dans le logiciel Orion utilisé par SolarWind, compromettant ainsi les données, les réseaux et les systèmes de toutes les entreprises utilisant le logiciel Orion. Ce piratage, qui a touché plus de 18 000 organisations, aurait aussi compromis neuf agences fédérales et une centaine d’entreprises du secteur privé. Le point le plus inquiétant est que les hackers sont passés inaperçus pendant plusieurs mois et auraient volé ou exposé d’énormes quantités de données. Il ne s’agit pas d’une attaque isolée, puisque des incidents similaires se sont produits en mai et juillet 2021 : les cyberattaques ciblant respectivement Colonial Pipeline (un important opérateur américain de pipelines) et Kaseya (éditeur de logiciels).

Protection des chaînes d’approvisionnement

De toute évidence, les chaînes d’approvisionnement et les tendances telles que l’automatisation et la numérisation apportent de nombreux avantages aux entreprises et à la société. En ce sens, les chercheurs ont démontré à plusieurs reprises que ces technologies peuvent améliorer considérablement la productivité, la rentabilité des opérations, les délais de commercialisation et de réponse au client, etc.

Une responsabilité des entreprises est la protection des données clients

L’échange d’informations le long de la chaîne d’approvisionnement réduit l’effet coup de fouet et permet aux responsables d’optimiser le stock de sécurité et de synchroniser les transferts dans la supply chain. Mais les entreprises devraient aussi partager d’autres informations dans ce contexte, telles que la conception de nouveaux produits ou d’autres documents internes concernant les plans stratégiques liés aux programmes de développement des fournisseurs. Le tout contribuant à une chaîne d’approvisionnement plus compétitive et à gagner des parts de marché.

Mesures de cybersécurité

La connexion entre les acteurs de la logistique doit être renforcée par une cyberprotection spécialisée afin de garantir une chaîne d’approvisionnement exempte de cyberattaques de bout en bout. Autrement dit, une organisation ne peut pas protéger d’elle-même ses opérations et ses équipements sans impliquer ses fournisseurs et ses experts en sécurité informatique. Pour accompagner les organisations souhaitant améliorer leur protection contre les cybermenaces, il existe des normes et des certifications telles que l’ISO/IEC 27001 ou la NIST 800-55 de l’Institut National des Normes et de la Technologie (NIST), un organisme appartenant au département du Commerce des États-Unis. La norme ISO/IEC 27001 prévoit plusieurs procédures de contrôle afin que les entreprises puissent garantir la sécurité de leurs systèmes d’information. Ces procédures comprennent, entre autres, le contrôle d’accès, la sécurité physique, l’acquisition de systèmes, les procédures de maintenance et les relations avec les fournisseurs. La NIST 800-55 propose une méthodologie solide pour identifier et mesurer les impacts des contrôles de sécurité sur trois catégories : mise en œuvre, efficacité et performance, et mesures de l’impact organisationnel.

Le NIST, quant à lui, a développé une approche spécialisée, le guide NIST Cybersecurity Supply Chain Risk Management (C-SCRM) practices, pour aborder la cybersécurité dans les chaînes d’approvisionnement. Ce guide se concentre principalement sur les achats, les contrats avec les fournisseurs et l’échange d’informations. Ainsi, les activités telles que la sélection des fournisseurs, les appels d’offres, les demandes de devis, l’évaluation des propositions et des conditions contractuelles doivent être conformes aux exigences de cybersécurité établies.

L’interconnexion des acteurs de la logistique doit être renforcée par une cyberprotection spécialisée garantissant une chaîne d’approvisionnement exempte de cyberattaques de bout en bout

Par ailleurs, l’audit et le suivi des performances des fournisseurs devraient tenir compte des risques de cybersécurité, et les conditions contractuelles avec les fournisseurs devraient être revues afin de prévoir une réponse permettant d’atténuer les dommages en cas de détection d’une violation. Le guide du NIST couvre également les pratiques pertinentes pour former les décideurs, telles que les réglementations et les accords en matière de partage d’informations, les flux de travail liés à la publication et à la consommation d’informations, la protection des données et le support permanent concernant toute information partagée avec les fournisseurs.

Protection des données des consommateurs

Il existe une autre responsabilité fondamentale des entreprises, elle concerne la protection des données des consommateurs tout au long de la chaîne d’approvisionnement. En effet, les acteurs du secteur du e-commerce et du retail doivent mettre en place des systèmes de protection des informations de leurs clients, afin d’empêcher les attaques des hackers visant le vol d’identités ou de cartes de crédit (un groupe de hackers a volé les détails de millions de cartes de crédit sur le réseau PlayStation de Sony). Pour la société, la vie privée est synonyme de confiance, de respect et de liberté de pensée. Plus important encore, elle restreint le pouvoir politique : « plus quelqu’un en sait sur nous, plus il a de pouvoir sur nous ». La protection des données devient donc encore plus critique, d’un point de vue géopolitique et de sécurité nationale, lorsqu’elle est utilisée par des groupes de hackers pour mettre en œuvre des stratégies de propagande.

En Europe, les pays travaillent de manière intensive à l’élaboration de cadres législatifs susceptibles de garantir la protection des données à caractère personnel. Les sites web ou certaines applications web telles que les boutiques en ligne, les sites d’e-learning ou les applications mobiles des réseaux de transport, demandent souvent des données personnelles pour s’inscrire. Le règlement (UE) 2016/679 du Parlement européen, ou Règlement Général sur la Protection des Données (RGPD) contient des normes strictes pour protéger le traitement des données. Il prévoit des directives en matière de « traitement par un particulier, une entreprise ou une organisation, des données à caractère personnel des personnes physiques dans l’Union européenne ».

Selon le RGPD, on entend par données à caractère personnel les informations ou les éléments d’information susceptibles d’être collectés afin d’identifier une personne physique en particulier. Néanmoins, les politiques et réglementations existantes n’ont pas été rédigées pour régir spécifiquement les opérations de Transport Public Intelligent (TPI). De nouveaux cadres législatifs pourraient donc être élaborés dans les années à venir.

En conclusion, la cybersécurité joue un rôle essentiel dans le processus de transformation que subit la chaîne d’approvisionnement actuellement en raison des meilleures pratiques de l’industrie 4.0. Les conseils d’administration doivent relever ces défis en concevant des nouvelles stratégies dotées d’un modèle de cybersécurité appelé Zero Trust (réseaux à confiance zéro), ainsi que des systèmes capables de détecter les cyberattaques et d’y répondre.

La sécurité informatique doit s’améliorer et s’étendre à la chaîne d’approvisionnement de bout en bout, ainsi qu’à ses fonctions internes. De même, les normes existantes contribuent à la mise en œuvre de mesures de sécurité tout au long de la supply chain, éliminant ainsi les faiblesses du système que les hackers pourraient exploiter pour perpétrer ses attaques.

 


 

Luca Urciuoli est professeur adjoint dans le Programme International en Logistique du MIT-Saragosse. Il est également professeur associé au KTH Royal Institute of Technology (Stockholm, Suède) et adjoint de recherche au Centre pour le Transport et la Logistique du MIT.

 


 

Références