[Tribune] La sécurité de la supply chain est une question vitale pour les entreprises

Les architectes informatiques doivent réexaminer leurs standards lors de l'intégration de diverses solutions. Très souvent, le degré de complexité de la chaîne d'approvisionnement dépend de l'ensemble des acteurs qui travaillent ensemble - fabricants, fournisseurs logistiques, reconditionnement, les magasins de vente au détail - ce qui signifie que la sécurité et les infrastructures deviennent rapidement laborieux à gérer.

Les violations de données de grandes entreprises se produisent généralement lorsqu'un petit entrepreneur partenaire subit une attaque ; par ce biais, les attaquants accèdent également à l'infrastructure de la grande entreprise avec qui il traite. Cela doit amener les grandes entreprises et les autres acteurs de la chaîne d'approvisionnement, à s'intéresser plus à la sécurité de leurs infrastructures informatiques qu'à l'optimisation des coûts.

Déploiement d'infrastructures Cloud

Lorsqu'une entreprise migre vers le Cloud, il importe qu'elle ait une réflexion stratégique prenant en compte l'offre de la disponibilité à ses clients mondiaux. Certains cas de figure ou situations ont besoin d'être enregistrés et mémoriser dans des Datacenters, dans divers lieux géographiques, afin d'être prêt à réagir en cas de catastrophe.

Les différents acteurs qui ont accès aux infrastructures Cloud et aux données de l'entreprise via différentes applications doivent être surveillés, afin de détecter d'éventuelles activités suspectes. Les demandes et entrées doivent être contrôlées afin de s'assurer qu'elles ne compromettent pas les services, les bases de données, et l'infrastructure. Considérant l'importance des données de l'entreprise pour sa compétitivité, toutes ces actions doivent être indispensables tant pour les entreprises que pour les acteurs de sa chaîne d'approvisionnement, car ces actions aident à répondre plus efficacement en cas d'attaque ou de violation de données, mais comptent aussi dans la survie ou le déclin de l'entreprise.

Gestion de la flotte et de la mobilité

Au delà du Cloud, il y a également la question de la mobilité et de la flotte. Avec les entrepôts, les conducteurs et même les professionnels des magasins de détail utilisent de plus en plus les applications et les appareils mobiles pour l'inventaire ou la logistique. La question de sécuriser et de gérer tous ces appareils mobiles devient donc vite nécessaire. Il est indispensable d'intégrer aux MDMs (appareils d'enregistrement multipiste numérique modulaires), une console de gestion centralisée de la sécurité, ce qui permettra au service informatique de déployer des politiques de sécurité proactives et défensives comme par exemple l'effacement à distance des appareils volés ou perdus.

Il est aussi fréquent que les professionnels utilisent leurs mobiles de travail à des fins personnelles, à l'occasion, ils peuvent installer des applications suspectes ou infectées. Dans ces cas aussi, les logiciels et politiques de sécurité peuvent aider, à la fois les acteurs de la chaîne d'approvisionnement et les entreprises à sécuriser leurs données.

Responsabilité partagée de la sécurité

La responsabilité partagée est un modèle imposé aux clients par les grands fournisseurs de services Cloud : le fournisseur de Cloud est responsable de la sécurité physique et de la conformité, les clients quant à eux sont responsables de la sécurisation de leurs VPS en fonction de leurs besoins et politiques. Ce modèle de responsabilité mutuelle fonctionne pour les entreprises qui reposent sur les infrastructures hybrides car elles tiennent à garder un blocage réversible de leurs données qui peuvent être tantôt inactives, tantôt actives. Cela implique généralement le cryptage de la communication entre les terminaux et le Cloud, ainsi que le chiffrement des données inactives ou inexploitables.

L'entreprise peut appliquer ce même modèle de responsabilité partagée à chaque acteur de sa chaîne d'approvisionnement en examinant leurs capacités de sécurité, ou en travaillant avec des acteurs qui adhèrent à ses normes de sécurité déjà établies. Etant donné que les entreprises ne sont pas tenues de gérer directement la sécurité de l'ensemble de leur chaîne logistique, elles peuvent toutefois demander des audits de sécurité aux services qui gèrent directement leurs infrastructures informatiques.

La sécurité de la supply chain est la responsabilité de TOUS

S'il est vrai que les entreprises peuvent faire porter la responsabilité de la sécurité aux acteurs de sa chaîne d'approvisionnement, il est recommandé qu'au moins quelques directives basiques de sécurité soient définies et appliquées au sein même l'entreprise. Pour cela, les architectes informatiques doivent bien comprendre ce qu'est le Cloud, plus précisément le Cloud hybride -et pas seulement tirer parti des nouveaux services du Web - afin d'accroître leur efficacité et performance. Ils doivent aussi prendre en compte tous les aspects de sécurité d'une chaîne d'approvisionnement dynamique en fonction des spécificités de tous les acteurs qui rentrent en compte.

Par Arsene Liviu, spécialiste sécurité chez Bitdefender.