Cyber baudruche

Dans un monde dont la digitalisation tend à effacer les frontières, et dans un contexte d’interconnection croissante, les acheteurs sont en première ligne pour les questions de cyber-sécurité. Notamment pour sécuriser les échanges d’informations de l’entreprise avec la galaxie de ses fournisseurs.

Un sujet de plus en plus critique, difficile à appréhender, et encore davantage à maîtriser.

Concrètement, la vulnérabilité d’une entreprise face au cyber-risques prend trois formes principales :

La première, qui existait bien avant internet, est celle du vol d’informations confidentielles. L’espionnage industriel, l’intelligence économique ou l’usurpation d’identité ne sont pas nouveaux, mais amplifiés par la fluidité toujours plus grande des échanges d’information.

La deuxième, la plus brutale, vise directement les moyens de production pour les paralyser, les rendre inopérants voire les détruire. L’attaque des usines d’enrichissement d’uranium en Iran en est un exemple célèbre. Sans aller si loin, un sabotage à distance de l’alimentation électrique suffirait à faire basculer n’importe quelle entreprise dans le pire des cauchemards.

La troisième, la forme la plus en vogue actuellement, est la prise en otage de données en vue d’une rançon. Notre addiction au numérique est tellement forte que, tel un drogué, nous serions prêt à payer n’importe quel prix pour nous y reconnecter. Essayez de travailler une journée complète sans accès internet pour voir…

Ensuite, l’entreprise est vulnérable à différents échelons :

Dans nos opérations propres, il ne tient qu’à nous d’investir dans des outils, bonnes pratiques informatiques, antivirus, VPN, etc. C’est un minimum, mais loin d’être infaillible, à l’instar de la Grande muraille numérique chinoise. Il restera toujours le facteur humain, et notamment la direction de l’entreprise : “le poisson pourrit toujours par la tête”. En effet, le sommet hiérarchique est doublement vulnérable, d’une part s’il s’autorise à déroger aux processus (utilisation d’e-mail personnel par exemple), et d’autre part par son accès aux informations les plus sensibles et aux leviers de pouvoir.

Dans nos ramifications externes : le maillon faible est souvent l’un de nos fournisseurs. Ainsi, c’est au travers de ses fournisseurs qu’Airbus a été attaqué début 2019. A force d’externaliser, la surface attaquable enfle toujours plus, tel un ballon de baudruche que le moindre petit trou d’épingle réduira à néant.

Encore moins contrôlables, nos anciens fournisseurs (sans parler de tous ceux que nous avons consulté sans les retenir) détiennent des informations parfois précieuses. Comment croyez-vous que les Paradise papers et autres Panama papers ont pu voir le jour ?

Quoi qu’il en soit, c’est un risque qui mérite notre attention. Signe des temps, l’offre d’assurance des cyber-risques se développe et se structure. Une corde de plus à l’arc (la harpe ?) des acheteurs !

 
Ce contenu a été publié dans Chronique, Cyber-risque, Externalisation, Libre échange, Risk management, avec comme mot(s)-clé(s) , , . Vous pouvez le mettre en favoris avec ce permalien.