Selon un nouveau rapport de la société de cyberdéfense BlueVoyant, 80 % des entreprises déclarent avoir été affectées par une atteinte à la cybersécurité dans leur chaîne d'approvisionnement au cours des douze derniers mois. Bien qu'il y ait eu une augmentation prometteuse de 17 points de pourcentage d'une année sur l'autre (de 19 % à 36 %) dans les répondants déclarant qu'ils travaillent avec des tiers à chaque étape pour résoudre les problèmes, le processus reste difficile.Parmi les six secteurs évalués dans l'enquête, les entreprises pharmaceutiques et de soins de santé rapportent le taux le plus élevé (87 %) d'impact négatif d'une brèche dans leur écosystème tiers au cours des douze derniers mois. Plus d'un tiers des organisations de soins de santé (36 %) déclarent n'avoir aucun moyen de détecter les menaces dans les tiers, ce qui est également le taux le plus élevé de tous les secteurs.
Il est inquiétant de constater que seuls 32 % des fournisseurs tiers font l'objet d'une surveillance régulière (1 459 fournisseurs sur un total de 4 510 en moyenne dans cette enquête). Parallèlement, 50 % des entreprises déclarent ne pas évaluer périodiquement tous leurs fournisseurs en raison de difficultés liées aux ressources, à la technologie et à l'expertise.
"Plus d'organisations que les années précédentes ont indiqué que leur objectif principal n'est plus la sensibilisation au problème de la gestion des risques liés aux tiers ou l'adoption d'un programme, mais plutôt les défis opérationnels et quotidiens de la gestion d'un programme efficace", déclare Joel Molinoff, responsable mondial de la défense de la chaîne d'approvisionnement chez BlueVoyant.
Il ajoute : "Bien que ces progrès s'accompagnent de nombreux nouveaux défis, ils indiquent un grand pas dans la bonne direction par rapport aux années précédentes où de nombreuses organisations avaient un mauvais suivi des fournisseurs tiers, peu ou pas de surveillance de la part des dirigeants et pratiquement aucune collaboration lorsqu'il s'agissait de remédier aux problèmes cybernétiques."
Brendan Conlon, directeur mondial de la défense de la chaîne d'approvisionnement chez BlueVoyant, commente : "Les organisations progressent dans la surveillance plus fréquente des tiers, bien que les défis liés à la communication des mesures à la haute direction persistent. Au fur et à mesure que la sécurité de l'information en tant qu'industrie continue à mûrir, l'accent sera mis sur l'intégration plus étroite des multiples aspects des opérations de sécurité. Cela signifie que le risque cybernétique des tiers sera inévitablement intégré dans les opérations quotidiennes du SOC et dans les programmes de gestion des risques plus larges."
Source : The State of Supply Chain Defense: Annual Global Insights Report (BlueVoyant)
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
91 % des entreprises sont confrontées à des incidents dans la chaîne d'approvisionnement logicielle, d'après une étude de Data Theorem Une majorité de développeurs et de RSSI considèrent la sécurité de la chaîne d'approvisionnement des logiciels comme une priorité absolue, mais ils ne sont pas d'accord sur la responsabilité de chacun Les entreprises omettent la moitié du temps d'évaluer la sécurité des principales mises à jour des applications logicielles, car cela est compliqué, coûteux et prend du temps, d'après CrowdStrike