Même si les risques de cybersécurité liés à l'IoT sont en hausse, de plus en plus graves et fréquents, les entreprises ne font toujours pas assez pour y remédier. Par exemple, l'une des principales faiblesses du processus de développement de tout nouvel appareil ou technologie IoT est encore largement non réglementée, ce qui lui permet de perdurer.
Bien entendu, nous parlons ici des vulnérabilités de la chaîne d’approvisionnement et de la difficulté à en assurer la sécurité. Si les organisations elles-mêmes développent de bonnes pratiques de cybersécurité, elles restent vulnérables aux risques posés par les composants individuels fournis par leurs fournisseurs. Examinons de plus près la question des vulnérabilités de la chaîne d’approvisionnement :
Problèmes de chaîne d'approvisionnement
Malheureusement, de nombreuses vulnérabilités potentielles proviennent des chaînes d’approvisionnement et il n’existe pas encore de norme unifiée permettant de les éviter. Certaines réglementations comme le RGPD et la loi sur la cybersécurité devraient être d’une grande aide en incitant les organisations à envisager plus sérieusement la mise en œuvre de la cybersécurité. Cependant, jusqu’à présent, la plupart des efforts pour assurer la sécurité incombent toujours aux entreprises clientes elles-mêmes – et les fournisseurs pourraient faire davantage.
Il est facile de comprendre pourquoi si l'on prend en compte les statistiques : les coûts des violations de données augmentent et elles sont de plus en plus fréquentes en raison des vulnérabilités des équipements industriels. Pour lutter contre ce problème, il est essentiel que les entreprises clientes et les fournisseurs prennent davantage conscience des dangers des mauvaises pratiques en matière de cybersécurité.
Conséquences d’une sécurité insuffisante dans les composants industriels
Il est difficile de garantir la sécurité de tous les composants fournis lorsqu'il n'existe pas de cadre d'assurance de sécurité normalisé. Toutes sortes de problèmes peuvent survenir en raison de l'impossibilité de retracer les problèmes tout au long de la chaîne d'approvisionnement, d'éliminer la contrefaçon et de garantir la transparence.
Les entreprises clientes ont tendance à compter sur les fournisseurs pour garantir le niveau minimal de protection de sécurité à intégrer aux composants, et devinez quoi, ce n’est pas toujours le cas. L’adoption des meilleures pratiques des industries critiques pour la sécurité est un bon exemple qui mènera finalement à une pratique de cybersécurité standardisée à laquelle tous les fournisseurs et fabricants devront adhérer. Cependant, pour assurer la cybersécurité, les entreprises peuvent et doivent toujours contribuer à gérer les vulnérabilités de la chaîne d’approvisionnement et à les éliminer.
Ce que les entreprises peuvent faire pour gérer les vulnérabilités
Les entreprises doivent contribuer à la gestion des vulnérabilités de la chaîne d'approvisionnement en établissant des exigences de sécurité des achats qui insistent sur la garantie de la provenance et de l'identité de chaque produit et composant fourni par leur chaîne d'approvisionnement. Exiger des produits et pièces « sécurisés par défaut » de la part des fournisseurs est une bonne pratique qui permettrait de garantir que les risques de sécurité globaux sont faibles.
Certaines entreprises ont déjà pris des mesures, mais il est essentiel que ces mesures soient adoptées à plus grande échelle. Par exemple, certaines organisations comme Google et Apple ont développé leurs propres processus de gestion des risques de cybersécurité qui traitent des vulnérabilités de la chaîne d'approvisionnement, le cas échéant. Cela établit une excellente norme pour d'autres entreprises et secteurs, qui devraient améliorer leur engagement à répondre aux préoccupations en matière de cybersécurité.
Principaux points à retenir
Les vulnérabilités de la chaîne d'approvisionnement peuvent représenter des risques de cybersécurité importants pour les entreprises, voire pour les grandes organisations. Sans un cadre d'assurance de cybersécurité adapté, il est difficile pour les organisations de garantir la sécurité des composants qu'elles utilisent.
Ils peuvent commencer par définir des exigences en matière d’approvisionnement pour obliger les fabricants et les distributeurs à garantir que tous les produits sont sécurisés par défaut, ou en adoptant un cadre d’assurance de la cybersécurité. Ce cadre doit garantir les 4 objectifs suivants :
- Simplifier le processus d'identification des risques de cybersécurité et impliquer les métiers
- Négocier avec les OEM/fabricants en fonction des profils de sécurité
- Couvrir toutes les normes/qualifications pertinentes
- Mettre en œuvre les activités « Assurance Sécurité »