Nouvelles

Si vous êtes fan de Star Wars, vous connaissez probablement l'Ordre 66. Une puce était implantée dans le cerveau des Clones pour modérer leur comportement et y insérer des instructions. Cette puce contenait l'Ordre 66, une instruction visant à éliminer les Jedis. Bien que les Jedis aient engagé des Kaminoans pour constituer une Armée de Clones, l'Empereur Palpatine a exploité sa position de pouvoir pour manipuler les instructions de la puce à son profit. Voici un exemple de la nécessité de protéger votre matériel informatique bien avant son installation dans vos installations ou autres équipements.

Selon Gartner, en 2019, 65 % des produits connectés étaient « piratables ». Par exemple, en 2015, un fabricant de jouets a lancé une poupée interactive qui s'est révélée vulnérable aux attaques. Comme nous l'avons évoqué dans notre série de blogs sur la cybersécurité, les attaques récentes les plus connues ciblent les logiciels et les réseaux, car il est plus facile d'obtenir un accès numérique que physique. Cependant, nous avons également démontré que les attaques matérielles ne sont pas rares et que leurs conséquences peuvent être dévastatrices pour les entreprises.

De plus, dans nos articles, nous avons abordé les stratégies, les technologies et les bonnes pratiques à mettre en œuvre pour protéger votre entreprise, en commençant par le matériel. Cependant, nous n'avons pas encore abordé la protection du matériel tout au long de la chaîne d'approvisionnement.

Comme indiqué ci-dessus, obtenir un accès physique est difficile mais pas impossible et cela signifie parfois altérer le matériel pendant sa fabrication et exploiter la vulnérabilité plus tard, tout comme l'empereur Palpatine avec l'armée des clones.

À première vue, cela pourrait ressembler à une folle théorie du complot, sortie tout droit d'une fiction. Néanmoins, gardez à l'esprit que les attaques matérielles peuvent perturber les activités d'une entreprise, entraîner d'importantes pertes financières, des dommages matériels et la destruction de sa réputation, entre autres conséquences dévastatrices.

Quels sont les défis de sécurité dans la chaîne d’approvisionnement ?

À mesure que les entreprises mettent en œuvre des stratégies d'automatisation et de digitalisation, elles augmentent également leur surface d'attaque et leurs risques de vulnérabilité. Par conséquent, la protection des données et de l'infrastructure informatique (applications, serveurs, réseaux, données clients, données fournisseurs, nomenclatures, systèmes de gestion des transports) constitue depuis des années une priorité majeure pour la protection des informations de la chaîne d'approvisionnement. En revanche, la protection des produits n'est pas une priorité, même si le nombre de produits connectés à Internet ou considérés comme « intelligents » continue d'augmenter.

Ces produits « intelligents » incluent généralement du code embarqué, des composants logiques ou des microcontrôleurs. Auparavant, seules les entreprises de haute technologie se préoccupaient des défis liés à la protection des produits dans la chaîne d'approvisionnement. Aujourd'hui, les transports, la santé et les produits de consommation deviennent de plus en plus intelligents, ce qui accroît le besoin de protection.

Un défi connexe à la protection de la chaîne d'approvisionnement réside dans la technologie opérationnelle. L'informatique de pointe et l'IoT permettant une expérience informatique plus proche de l'utilisateur, de nouvelles vulnérabilités apparaissent. Les équipements utilisés pour la fabrication et la logistique sont désormais généralement connectés à des réseaux internes, au moins pour surveiller leurs performances et anticiper les problèmes. Il est donc essentiel d'analyser les menaces potentielles liées à la connexion de ces équipements à Internet, ainsi que les gains de productivité liés à l'installation de logiciels et de matériel de surveillance.

La protection de l'informatique, des technologies d'exploitation et des produits pose un défi majeur à la gouvernance. Dans de nombreuses entreprises, chaque service gère sa propre partie du système et manque d'une équipe transversale capable de gérer la sécurité de manière globale et à l'échelle de l'entreprise. Par conséquent, les services informatiques, l'ingénierie, la recherche et développement, les installations et les opérations corrigent les vulnérabilités dans le cadre de leurs responsabilités et négligent la protection des produits. En réalité, les services informatiques se chargent généralement des données, de l'infrastructure et des opérations informatiques.Certaines entreprises disposent d'une équipe informatique et d'une équipe opérationnelle distincte chargée de la sécurité des technologies OT/IOT/physiques. Dans d'autres, un groupe sécurité peut être intégré à l'équipe informatique.

Il s'agit d'un problème particulièrement complexe compte tenu de la croissance et de la vitesse de propagation des attaques, ainsi que des efforts constants déployés pour concilier les initiatives d'innovation et les opérations courantes. Plus que jamais, les organisations de la chaîne d'approvisionnement doivent comprendre que la sécurité est l'une de leurs responsabilités. De plus, l'ensemble de l'organisation doit collaborer pour protéger les produits de manière globale tout en répondant aux menaces ou attaques immédiates.

Protection du matériel des produits intelligents

Comme dans l'exemple de l'Ordre 66, l'attaque peut viser à saboter vos opérations en altérant le matériel, ce qui pourrait entraîner des pertes financières, une atteinte à votre réputation et des perturbations de votre activité, entre autres. Cependant, ces attaques peuvent également viser à contrefaire des produits ou à voler des informations de conception afin de vous devancer sur le marché, ce qui peut entraîner votre faillite ou vous coûter des ventes considérables.

Les risques de sécurité matérielle existent tout au long du cycle de vie : de la conception et de la fabrication initiales au recyclage et à la mise au rebut. Les circuits intégrés de pointe sont complexes, ce qui signifie qu'il est impossible pour une seule entreprise de concevoir, fabriquer et tester une puce. Par conséquent, la fabrication de puces est désormais une chaîne de valeur ajoutée composée de multinationales.

Avant même le début de la pandémie, les entreprises étaient contraintes de rechercher des produits électroniques de pointe et moins chers. Cela a conduit à une externalisation du matériel informatique sans précédent. Aujourd'hui encore, nous subissons les effets secondaires des restrictions de voyage et des perturbations commerciales, qui ont entraîné une pénurie de composants. Par conséquent, les entreprises développant des systèmes électroniques font appel à des courtiers et à des fournisseurs tiers, plutôt qu'à leurs fournisseurs d'origine, pour répondre à la demande, améliorer les délais de livraison ou réduire les prix. Le risque de ces pratiques est l'acquisition de puces contrefaites, parfois hors spécifications, recyclées ou clonées (ironie du sort !). Ces puces contrefaites peuvent ensuite être installées dans des systèmes sensibles ou critiques et ouvrir des vulnérabilités aux attaques (comme dans Star Wars).

Recommandations pour réduire les vulnérabilités dans la chaîne d'approvisionnement en matériel

La recommandation la plus importante est de considérer la sécurité des produits comme une priorité pour l'ensemble de l'organisation. Éliminez les obstacles afin que les équipes transverses, incluant les opérations, l'informatique, la recherche et développement, le marketing, les relations publiques et les ressources humaines, collaborent pour identifier et corriger les vulnérabilités tout au long du cycle de vie du produit.

Vous devez également garantir que la chaîne d’approvisionnement étendue peut répondre aux exigences d’efficacité, de coût, de service, de qualité et de sécurité pour tous vos produits, en particulier les produits « intelligents », de la phase de conception jusqu’à la mise hors service et à l’élimination.

Créez et mettez en œuvre des plans de reprise après sinistre et des évaluations de la continuité des activités. N'oubliez pas que des facteurs externes ou des catastrophes naturelles, comme une pandémie, peuvent modifier rapidement votre stratégie et vos besoins. Rassemblez au minimum des informations sur la manière dont vous pouvez vous adapter rapidement à une situation logistique ou de chaîne d'approvisionnement changeante, ainsi que des informations sur les menaces et les vulnérabilités potentielles. L'évaluation et la gestion des risques fournisseurs doivent être intégrées aux plans de continuité des activités. Ainsi, si vous ne pouvez pas attendre le délai de livraison de vos fournisseurs habituels, vous disposez de solutions de remplacement sécurisées préapprouvées. Enfin, assurez-vous que tous ces plans et évaluations respectent les normes du secteur, car elles fournissent généralement des indications utiles sur le périmètre des travaux et les délais.

Si vous souhaitez en savoir plus sur la manière dont un fabricant OEM de matériel peut vous aider à améliorer la sécurité en commençant au niveau du matériel, vous pouvez lire ce blog.Vous pouvez également continuer à lire notre Série de blogs sur la cybersécurité.