La sécurité de la supply chain IT n’est pas assez connue et connait pourtant un regain important auprès des cybercriminels et des espions. Dans ce cadre, Eclypsium, spécialisé sur ce sujet vient de publier un guide pour sensibiliser les acteurs IT. « Les DSI, les RSSI et les responsables de la supply chain peuvent utiliser ce guide pour évaluer leur exposition aux menaces de cybersécurité et prendre de meilleures décisions d'achat basées sur les risques » , a déclaré l’entreprise dans un communiqué.
Cette version comprend des informations vérifiées sur les produits et les composants des fournisseurs de matériel et de logiciels, Dell, HP, Lenovo, HPE, Cisco, Intel et Nvidia. Le guide sera disponible en tant qu'offre SaaS autonome, complémentaire et intégrée à la plateforme Supply Chain Security du fournisseur.
Plusieurs évènements emblématiques
En 2023, plusieurs incidents très médiatisés ont affecté l'infrastructure IT, hissant la sécurité de la supply chain en tête des priorités des entreprises et des responsables de la sécurité. En mai, des chercheurs ont détecté des comportements laissant suspecter la présence de portes dérobées dans les systèmes de Gigabyte. En juin, des informations ont été publiées sur la présence d’une vulnérabilité critique (CVE-2023-34362) dans une application web de transfert de fichiers sécurisée appelée MOVEit Transfer, exploitée par des pirates informatiques.
Selon Gartner, d'ici à 2025, 60 % des responsables de la gestion des risques de la supply chain prévoient d’intégrer le risque cyber au sein des contrats et des relations commerciales avec des tiers. « Les conseils d'administration de nombreuses entreprises se préoccupent de cette sécurité IT, et il est urgent de fournir un référentiel central offrant aux entreprises la capacité d'évaluer les risques liés aux produits informatiques », a déclaré Yuriy Bulgyin, CEO et cofondateur d'Eclypsium.
Renforcer la confiance des RSSI
« Le guide d'Eclypsium propose aux équipes de suivre les principaux risques/incidents de la chaîne d'approvisionnement et d'évaluer si les produits qu'ils utilisent ou qu'ils envisagent d'acheter sont concernés », a expliqué l’éditeur. « Traditionnellement, les RSSI évaluent les risques liés aux fournisseurs à l'aide de questionnaires au cours du processus d'intégration, mais ce n'est que du papier. Ensuite, ils doivent gérer ce risque tiers en production, avec des bits et des octets », a déclaré Allan Alford, RSSI d'Eclypsium. « Le guide apporte des données techniques concrètes au processus de gestion des risques liés aux fournisseurs, en analysant et en vérifiant les produits à un niveau technique afin que les RSSI puissent prendre leurs décisions en toute confiance », a-t-il ajouté.