Des milliers de personnes ont été victimes d’une attaque ciblée sur leur bipeur au Liban, en septembre dernier. Quel que soit l’auteur de l’attaque, l’incident met en évidence la nécessité d’assurer la sécurité de la supply chain pour chacun d’entre nous, en particulier pour les entreprises critiques susceptibles d’être la cible d’espionnage ou de sabotage
«L’attaque des bipeur au Liban montre à quel point un manque de contrôle sur les fournisseurs peut rendre les entreprises vulnérables. La nouvelle directive NIS2 peut contribuer à résoudre ce problème et vous permettre de mieux protéger votre organisation, explique Erik Lervaag, Senior Engineer IT/OT Convergence, Sopra Steria Norway. », explique Erik Lervaag, Senior Engineer IT/OT Convergence, Sopra Steria Norway
Des défaillances de la supply chain se sont déjà produites par le passé
L’incident survenu au Liban est brutal, mais ce n’est pas la première fois qu’une défaillance de la supply chain a des conséquences.
Lorsque le technicien informatique américain Edward Snowden a divulgué des documents classifiés des agences de renseignement américaines par l’intermédiaire de WikiLeaks en 2013-2014, le livre « No Place to Hide “de Glenn Greenwald a révélé que l’agence de sécurité publique américaine NSA (National Security Agency) avait installé ce qu’elle appelait des « implants de balise » dans le micrologiciel des équipements de mise en réseau Cisco.
Ces implants étaient destinés à servir de porte dérobée ou à envoyer à la NSA des copies du trafic passant par l’équipement de réseau.
Dans ce cas, la fuite indique que les envois ont été interceptés, emmenés dans les installations de la NSA pour y être modifiés, puis réemballés et envoyés au destinataire comme si rien ne s’était passé.
Disposons-nous d’un contrôle suffisant de la sécurité ?
La supply chain est généralement vulnérable et difficile à sécuriser. Malheureusement, nous devons accepter qu’un certain degré de risque est inévitable.
Si vous dirigez une entreprise, il y a de fortes chances que vous déteniez des secrets commerciaux, des information boursières sensibles ou des données personnelles que quelqu’un pourrait vouloir espionner. Ou bien l’entreprise peut avoir une fonction que quelqu’un pourrait vouloir saboter.
Pendant longtemps, les stations de base fournissant des réseaux cellulaires de 4G à la population norvégienne ont installé des équipements du géant industriel chinois Huawei. En 2019, la nouvelle loi sur la sécurité du gouvernement norvégien a empêché Huawei de devenir le seul fournisseur de réseaux cellulaires en Norvège.
La plupart des communications civiles dépendent du réseau mobile et il s’agit d’une infrastructure essentielle. Il n’y a aucune raison de croire que les entreprises de télécommunications, en tant que fournisseurs de services sérieux et essentiels, n’ont pas pris de précautions contre les risques associés à leur supply chain.
Toutefois, toutes les entreprises n’ont pas nécessairement fait preuve du même niveau de prudence.
Alors, faites-vous aveuglément confiance à votre supply chain ?
Nouvelles exigences pour les entreprises européennes
La directive NIS2 est entrée en vigueur dans l’UE le16 octobre 2024. Elle fixe un certain nombre d’exigences pour les entreprises définies comme essentielles ou critiques afin d’évaluer les risques et d’assurer la sécurité de leurs supply chain.
Bien que plusieurs pays européens soient un peu en retard dans l’intégration de cette directive dans leur législation, seuls quelques-uns comme la Belgique, la Hongrie, la Lettonie et la Croatie ayant complètement transposé le NIS2 dans leur droit national, les entreprises européennes devraient commencer à travailler conformément à la nouvelle directive dès aujourd’hui. Le texte juridique stipule, entre autres, que :
- Les États membres doivent veiller à ce que toutes les entreprises essentielles et critiques mettent en œuvre des mesures techniques, opérationnelles et organisationnelles de réduction des risques, y compris la sécurité de la supply chain.
- Cela s’applique à la relation entre l’entreprise et chaque fournisseur, aux vulnérabilités de chaque fournisseur, à la qualité du produit et au régime de cybersécurité du fournisseur et de ses sous-traitants.
- Les pays doivent également prendre en considération les évaluations des risques des fournisseurs coordonnées par l’UE.
La loi ne précise pas quelles sont les mesures appropriées pour chaque entreprise. Chaque entreprise doit évaluer la portée des mesures à prendre. Il est donc essentiel de procéder à une évaluation approfondie et complète des risques, en tenant compte de la sécurité de la supply chain.
Ce que les entreprises européennes doivent faire maintenant
Voici cinq conseils que les entreprises doivent connaître :
- Choisir les fournisseurs sur la base d’une vérification approfondie des antécédents et d’une évaluation des risques.
- Engager un dialogue avec les fournisseurs afin d’obtenir des informations et de s’assurer qu’ils ont des pratiques de sécurité solides.
- Identifier les vulnérabilités lorsque la sécurité de la supply chain est essentielle.
- Inspecter les livraisons et tester les équipements critiques.
- Disposer d’un système d’accès à distance sécurisé pour les fournisseurs, ainsi que de services d’escorte pour l’accès physique.
Certains pays peuvent élaborer des réglementations dans le cadre de la directive, qui sont généralement plus détaillées en termes d’exigences et d’approches, et les entreprises européennes devraient également vérifier si de telles réglementations ont été élaborées dans leur pays.
Erik Lervaag
Pour tous vos besoins en matière de mise en conformité NIS2, contactez :
laurent.porracchia@cs-soprasteria.com / sebastien.maes@cs-soprasteria.com
Ou consultez notre page cybersécurité