Le nouveau studio mondial de Kaspersky, « Supply chain réaction : sécuriser l’écosystème numérique mondial à l’ère de l’interdépendance », a identifié le problème des professionnels qualifiés en sécurité informatique et la nécessité de prioriser adéquatement les tâches de cybersécurité comme les principaux facteurs qui rendent difficile l’atténuation des risques associés à la chaîne de Suministro ya les relations de confiance. Ambos aspectsos son señalados por cerca de la mitad (42%) des encuestados en España.
Selon l’étude de Kaspersky sur les risques liés à la chaîne de gouvernement et aux relations de confiance, ces cyberattaques ont été consolidées comme l’une des principales actions des entreprises, car une de trois organisations a subi un incident de ce type au cours de la dernière année. La fréquence et la gravité de ces attaques dans la chaîne de direction doivent nécessairement identifier les facteurs que les entreprises doivent gérer de manière efficace.
Falta de talento y prioridades fragmentadas
L’un des principaux obstacles à la réduction des risques dans la chaîne de maîtrise est l’assistance des professionnels qualifiés en cybersécurité. Cette préoccupation limite la capacité des organisations à superviser de manière continue les vulnérabilités des tiers à l’intérieur de vos écosystèmes et de votre chaîne de gestion. La nécessité de spécialistes dans cet environnement est particulièrement élevée dans des pays comme l’Espagne, le Vietnam, les Émirats arabes unis et le Mexique.
Une autre question pertinente est la nécessité de gérer de multiples priorités de cybersécurité au même moment, ce qui provoque que les équipes sont chargées et que des mesures sont déterminées, comme les relations avec la chaîne d’approvisionnement, qui sont désatendidaes. Ce facteur est particulièrement remarquable parmi les chercheurs en Inde, au Vietnam, à Singapour et en Égypte.
Problèmes structurels dans la gestion des fournisseurs
De plus, en raison du manque de ressources, les organisations sont également confrontées à des problèmes structurels qui affectent directement la sécurité du réseau de gestion. Les 39 % des répondants confirment que leurs contrats avec les fournisseurs ne comprennent pas d’obligations claires en matière de cybersécurité, une situation particulièrement visible dans des pays comme le Vietnam, la Turquie, l’Espagne et le Mexique. De plus, 32 % reconnaissent que le personnel n’est pas spécialisé en sécurité informatique et ne comprend pas pleinement les risques associés à la chaîne d’affaires.
Au niveau mondial, les 85 % des entreprises admettent qu’elles ont besoin d’améliorer leurs mesures de protection face aux risques de la chaîne de gouvernement, alors que seuls les 15 % considèrent que leurs contrôles actuels sont réellement efficaces. Ce niveau de confiance est un moindre dans les économies de l’Allemagne (6%), de la Turquie (7%), de l’Italie (8%), du Brésil (8%), de la Russie (8%) ou de l’Arabie Saoudite (9%).
Les pratiques de protection sont insuffisantes
L’étude révèle également que les mesures actuelles permettent d’atténuer les risques de tiers dans la chaîne du pouvoir si elle est fragmentée. Il n’y a qu’une seule pratique supérieure à 40 % d’adoption par les organisations. Incluant la moyenne la plus étendue, l’authentification de deux facteurs, n’est utilisée que par 38% des personnes interrogées.
Asimismo, seuls 35% des entreprises réalisent des révisions périodiques de la posture de cybersécurité de leurs fournisseurs dans la chaîne de direction. En conséquence, les tiers des organisations soucieuses de leur visibilité continue sur la sécurité de leurs citoyens, ce qui augmente leur exposition aux vulnérabilités dans toute la chaîne de direction.
L’information montre également que les entreprises qui ont succombé à ce type de ciberataques doivent adopter des mesures les plus avancées. Par exemple, les incidents liés à la chaîne de contrôle sont plus susceptibles de solliciter les résultats des tests de pénétration (56%), tandis que les victimes des attaques basées sur les relations de confiance donnent la priorité à la vérification du respect des normes du secteur (56%) et aux politiques de sécurité de sus fournisseurs (53%).
L’étude révèle également que les mesures actuelles sont destinées à atténuer les risques de tiers dans la chaîne du pouvoir si elle est fragmentée
« Lorsque les équipes de sécurité sont chargées, en veillant à ce qu’elles soient personnelles suffisantes et se soient même tenues de prioriser les tâches urgentes face aux objectifs de résilience sur une grande place, les organisations qui proposent des solutions qui peuvent se propager de manière silencieuse à travers l’écosystème de leurs fournisseurs et leur chaîne de « Pour rompre ce cycle, il est nécessaire d’adopter des stratégies d’atténuation plus unifiées et cohérentes, des évaluations standardisées des fournisseurs avec une grande conscience entre les équipes. La sécurité du réseau doit devenir une responsabilité partagée et exigible pour l’ensemble de l’entreprise rouge », affirme-t-il. Sergey Soldatov, responsable du Centre d’opérations de sécurité de Kaspersky.
Seule la mise en œuvre de mesures préventives au niveau organisationnel et une application stratégique de la gestion des fournisseurs et des entrepreneurs pourraient réduire les risques dans le cadre du gouvernement et garantir la résilience des affaires, selon Kaspersky dans l’élaboration de l’information.
Recommandations de Kaspersky
Pour atténuer les risques sur la chaîne de revenus, Kaspersky recommande :
- Adoptez des services de sécurité gérés, comme Kaspersky Managed Detection and Response (MDR) ou Incident Response, en particulier pour les organisations sans ressources internes suffisantes.
- Inversez la formation en cybersécurité pour les employés, grâce à des programmes comme Kaspersky Cybersecurity Training.
- Évaluer en profondeur les fournisseurs avant de mettre en place les faits, de réviser la politique de sécurité, l’historique des incidents et de remplir les normes dans le cadre de la chaîne de gouvernement.
- Inclure les exigences spécifiques de cybersécurité dans les contrats avec les fournisseurs, comme les auditions périodiques ou les protocoles de notification des incidents qui refuercen la sécurité de la chaîne d’assistance.
- Collaborer rigoureusement avec les fournisseurs de matériel de sécurité pour renforcer la protection conjointe dans l’ensemble de la chaîne d’assistance.
