La complexité d'une chaîne d'approvisionnement moderne
Aujourd'hui, le gouvernement fédéral s'appuie sur une chaîne d'approvisionnement large et diversifiée pour se procurer des infrastructures, des équipements et d'autres biens essentiels. Pour répondre à leurs besoins, qu'il s'agisse de processeurs dans les systèmes de contrôle du trafic aérien ou de PC portables pour les employés à distance, et bien plus encore, les agences s'appuient sur un large éventail de partenaires de fabrication et de logistique. Chaque nœud et chaque connexion de cette chaîne d'approvisionnement mondiale représente des risques potentiels importants pour la sécurité.
Les acteurs malveillants voient ces risques comme des opportunités. Avec le bon accès, ils peuvent saboter, voler ou modifier des fournitures par ailleurs légitimes, qu'elles soient physiques ou numériques, et les utiliser comme points d'entrée clandestins ou comme outils de collecte de renseignements. La complexité de la chaîne d'approvisionnement moderne leur offre de nombreux moyens d'accès. Les acteurs de la menace emploient des stratégies sophistiquées et utilisent des logiciels tels que les rançongiciels et les outils d'hameçonnage pour compromettre les protections et atteindre leurs objectifs.
Les chaînes d'approvisionnement de fabrication, de production et de développement sont également devenues plus complexes. Les entreprises font appel à un large éventail de partenaires tiers pour un certain nombre de composants de leurs offres, ainsi que pour les services de transport et de gestion de la logistique. Pour les agences publiques, cela signifie que les risques ne se limitent pas à l'entreprise avec laquelle elles sont en partenariat direct.
La sophistication des menaces modernes, combinée à la complexité de la chaîne d'approvisionnement mondiale, crée des problèmes de sécurité et de gestion des risques très réels pour les agences publiques.
L'importance d'une chaîne d'approvisionnement sécurisée
Que se passe-t-il lorsque la chaîne d'approvisionnement d'un gouvernement est compromise ? Il s'agit de la première étape vers un certain nombre de résultats indésirables : du vol d'informations sensibles et privées à l'interruption de services publics vitaux.
Dans le monde numérique, votre chaîne d'approvisionnement est plus exposée que jamais. C'est pour cela qu'il est essentiel de mettre en œuvre des programmes formels de gestion des risques de la chaîne d'approvisionnement afin de réduire les risques et de déjouer les attaquants. Des outils tels que les suites de cybersécurité, les solutions de surveillance de la gestion des entrepôts et de la logistique et les solutions de suivi des ressources peuvent protéger votre organisation.
Menaces de chaîne d'approvisionnement actuelles
L'adoption rapide du télé-travail a amplifié les risques liés à la chaîne d'approvisionnement et a considérablement élargi la surface d'attaque globale de nombreuses agences publiques. Les employés à distance utilisent souvent des réseaux qui échappent au contrôle du service informatique, ce qui entraîne une sécurité moins stricte. Les utilisateurs passent également plus de temps en ligne, ce qui accroît leur exposition aux risques.
Face à de nouveaux défis, les préoccupations en matière de gestion et de sécurité de la chaîne d'approvisionnement s'élargissent pour prendre en compte un plus large éventail de menaces physiques et numériques. Les chaînes d'approvisionnement du gouvernement fédéral doivent anticiper une variété d'attaques qui pourraient être menées par un certain nombre de mauvais acteurs, y compris des groupes de piratage parrainés par l'État, des criminels, des hacktivistes, des initiés et des parties mécontentes qui cherchent à semer le chaos.
Pour atteindre leurs objectifs, les attaquants utilisent un grand nombre de tactiques physiques et numériques.
Menaces physiques
- Vol et détournement d'appareils, d'équipement et de matériel
- Falsification : la modification ou l'altération d'un appareil à des fins malveillantes
- Produits inauthentiques ou contrefaits
Menaces numériques
- Injection de logiciels malveillants dans le processus de fabrication ou infection de composants de suites logicielles
- Hameçonnage, rançongiciels, botnets et autres cyberattaques courantes visant les utilisateurs.
- Attaques contre les réseaux informatiques et autres infrastructures numériques
- Compromettre des services Cloud tiers pour obtenir un accès non autorisé
Meilleures pratiques pour créer une chaîne d'approvisionnement sécurisée
Les agences publiques s'attachent à améliorer la sécurité de leurs chaînes d'approvisionnement. Beaucoup déploient des équipes dédiées à la sécurité de la chaîne d'approvisionnement. L'une des priorités essentielles est de permettre une vision plus globale du paysage des menaces, à travers les vecteurs d'attaque physiques, numériques et humains. Le but est d'agréger plus efficacement les informations pour voir les tendances des attaques. Grâce à une meilleure surveillance de la chaîne d'approvisionnement, les agences publiques peuvent être mieux informées de l'apparition de risques.
Visibilité et intelligence holistique
Une approche holistique des informations relatives à la sécurité de la chaîne d'approvisionnement permet également d'alimenter des conversations plus approfondies entre les gestionnaires des risques de la chaîne d'approvisionnement et d'autres parties prenantes telles que les spécialistes de la cybersécurité, les équipes de sécurité physique et les ressources humaines. Il est essentiel de renforcer la collaboration et la connectivité entre ces disciplines.
De même, les services de renseignement sur les menaces peuvent vous aider à rester informé des dernières tendances et tactiques d'attaque. De nombreux fournisseurs cherchent des moyens de partager des informations et de contribuer à la protection de leur secteur contre les menaces.
Une approche de sécurité zéro-confiance
La sécurité zéro-confiance devient rapidement une nouvelle norme. Ici, les employés et les partenaires se voient attribuer uniquement les accès dont ils ont besoin pour faire leur travail, et rien de plus. Cette approche limitée de l'octroi de privilèges d'accès permet de lutter contre le nombre croissant de mécanismes de menace et de vecteurs d'attaque tout au long de la chaîne d'approvisionnement. L'adoption d'une approche zéro-confiance peut contribuer à améliorer la gestion des risques liés à la sécurité de l'information de votre agence.
Certifications et validation tiers
De nombreuses agences cherchent à s'aligner sur les normes de sécurité de la chaîne d'approvisionnement afin de garantir la protection de leurs ressources. Des certifications telles que ISO28000 et ISO27001, ou l'utilisation de l'infrastructure de cybersécurité du NIST, peuvent garantir que vous prenez les bonnes mesures pour prévenir et remédier rapidement aux violations. Une validation externe et des contrôles internes bien réglés peuvent permettre de garantir la conformité et de promouvoir des efforts de certification plus efficaces.
Évaluation approfondie et continue
Un examen minutieux doit être appliqué à chaque nœud de votre chaîne d'approvisionnement mondiale, y compris une évaluation initiale approfondie et un audit continu rigoureux de tous les partenaires de la chaîne d'approvisionnement. Les contrats peuvent être utilisés pour consolider les accords et normaliser les attentes des fournisseurs. Des audits peuvent ensuite permettre de vérifier que les fournisseurs respectent l'accord. Il est également essentiel de prendre les mesures correctives appropriées lorsque des problèmes sont signalés et de suivre attentivement leur évolution. Ces pratiques de réponse et de remédiation doivent être intégrées dans les programmes existants de gestion des fournisseurs ou d'amélioration de la qualité. La transparence et la confiance devraient être la base de toute relation dans la chaîne d'approvisionnement.
L'engagement d'Intel à la sécurité de la chaîne d'approvisionnement
Chez Intel, la sécurité est toujours une priorité absolue. Nous proposons la solution de chaîne logistique transparente Intel® (Intel® TSC, Transparent Supply Chain), qui permet une visibilité et une traçabilité accrues des composants matériels, des microprogrammes et des systèmes sur certaines plateformes Intel®. Elle fournit un aperçu détaillé de la chaîne de traçabilité de votre appareil, ce qui vous donne l'assurance que votre investissement n'a pas été altéré.
Outre l'offre Intel® TSC, nous avons pris des mesures pour renforcer la sécurité de notre propre chaîne d'approvisionnement. Nous utilisons une infrastructure de gestion des risques basée sur les meilleures pratiques et les normes du secteur dans l'ensemble de notre vaste réseau de fournisseurs, depuis la conception, les services et la gestion de la propriété intellectuelle jusqu'à l'entreposage et la logistique. Notre programme comprend des directives de sélection des fournisseurs qui tiennent compte des pratiques et de la position en matière de sécurité, des évaluations régulières des risques des fournisseurs, des protections contractuelles concernant la contrefaçon, des audits sur site et une surveillance en temps réel de la cybersécurité. Ces capacités sont intégrées dans nos pratiques standard de gestion des fournisseurs pour permettre une meilleure visibilité de nos opérations et nous aider à repérer rapidement les anomalies et les risques.