L"approche Zero Trust pour la cybersécurité de la chaîne d'approvisionnement

L’approche Zero Trust pour la cybersécurité de la chaîne d’approvisionnement

Le monde continue de se numériser et les cyberattaques de la chaîne d’approvisionnement augmentent en nombre et en gravité. Une approche Zero Trust pourrait contribuer à accroître la résilience du Supply Chain face à de telles attaques.

L’approche Zero Trust

Compte tenu de l’augmentation générale de l’interconnexion numérique, cette tendance est plutôt dangereuse. La sécurité d’une entreprise ne dépend plus uniquement de sa propre résilience. 

Une vulnérabilité dans les produits ou systèmes d’un tiers peut créer un point d’entrée pour les cybercriminels dans l’ensemble de la chaîne d’approvisionnement . Cela signifie que les organisations ne doivent plus simplement croire que leur fournisseur est cybersécurisé. 

Plutôt que de supposer qu’une entreprise ou un produit avec lequel une organisation traite est sécurisé, une approche de confiance zéro nécessite une vérification de tous les actifs et comptes d’utilisateurs ou applications. Par ailleurs, l’authentification pour l’accès aux systèmes des organisations doit être approuvée.

Même les utilisateurs au sein de la propre infrastructure technologique d’une organisation doivent confirmer leurs données chaque fois qu’ils demandent l’accès à une ressource. Et ce, que ce soit à l’intérieur ou à l’extérieur du réseau.

Que faire si le fournisseur n’accorde pas suffisamment d’attention à la cybersécurité ?

Le fournisseur peut avoir des failles dans la construction de son système de cybersécurité. Il peut aussi sous-estimer l’importance du développement sécurisé des produits et services. 

Cela peut amener une organisation à installer sans le savoir des logiciels vulnérables ou d’un service Cloud peu fiable. Une situation qui peut exposer l’organisation à des fuites de données.

Pour minimiser ces risques, l’organisation doit : 

  • Vérifier la conformité d’un fournisseur aux normes de cybersécurité avant de demander ses services ou de signer un contrat de développement de logiciels.
  • Engager des experts indépendants pour auditer la sécurité des logiciels et produits développés.
  • Introduire des solutions pour une surveillance continue de la sécurité des applications.

Que faire si le fournisseur accorde trop de confiance à d’autres tiers ?

Une chaîne d’approvisionnement est une structure multicouche. Le fournisseur peut donc travailler avec d’autres tiers et s’appuyer sur leur résilience sans vérification. Si une de ces entités a un faible niveau de cybersécurité, elle pourrait devenir le point d’entrée dans l’ensemble de la chaîne d’approvisionnement.

Une approche de confiance zéro peut aider à réduire ce risque en :

  • Exigeant un accès sécurisé et confirmé à toutes les ressources.
  • Utilisant le modèle du moindre privilège, qui limite le droit d’accès de chaque utilisateur aux données au niveau minimum nécessaire à l’exercice de ses fonctions.
  • Analysant les logs ou l’historique des événements et leurs sources dans les applications.
  • Enregistrant les anomalies dans des logiciels spécifiques.

Que faire si l’organisation est contactée par un criminel se faisant passer pour son vendeur ?

L"approche Zero Trust pour la cybersécurité de la chaîne d'approvisionnement

Les comptes d’entreprise continuent d’être l’une des cibles les plus tentantes pour les cybercriminels. Et le phishing est devenu la principale méthode pour transmettre des infections de ransomware aux entreprises.

Des études ont démontré que 7 représentants commerciaux sur 10 tombent dans le piège de la cybercriminalité. Ainsi, même les solutions logicielles les plus avancées peuvent être insuffisantes pour sécuriser l’entreprise.

Exiger des employés qu’ils vérifient tout le courrier entrant peut réduire considérablement ce risque. La méthode Zero Trust peut augmenter la résilience de chaque entreprise individuelle dans une chaîne d’approvisionnement, apportant plus de stabilité à ces réseaux en croissance.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest