Des milliers de victimes au Liban : une leçon de sécurité
Des milliers de personnes ont été victimes d'une attaque ciblée sur les pagers au Liban en septembre dernier. Peu importe qui en est responsable, cet incident met en lumière l'importance de la sécurité des supply chains, en particulier pour les activités sensibles qui sont souvent la cible d’espionnage ou de sabotage.
Les failles de la chaîne d’approvisionnement ne sont pas nouvelles
L'incident au Liban est très choquant, mais ce n’est pas la première fois qu'une faille dans la supply chain a des conséquences graves.
Prenons l’exemple des divulgations d’Edward Snowden de documents classifiés des agences de renseignement américaines via Wikileaks en 2013 et 2014. Dans le livre No Place to Hide qui revient sur cette affaire, le journaliste Glenn Greenwald a révélé que l’agence américaine NSA (National Security Agency) avait installé ce qu’elle appelait des « implants balises » dans le micrologiciel des équipements réseau Cisco.
Les implants avaient deux fonctions principales : soit agir comme une porte dérobée pour permettre un accès non autorisé, soit capturer et copier le trafic transitant par les équipements, afin de le transmettre à la NSA. Selon les révélations, la NSA interceptait les équipements durant leur transport, les modifiait dans ses installations, puis les réemballait avant de les envoyer à leur destination finale, sans éveiller de soupçons.
Avons-nous un contrôle suffisant sur la sécurité ?
La supply chain est généralement vulnérable et difficile à sécuriser, et de plus, le risque zéro n’existe pas. Si vous dirigez une entreprise, il est probable que vous déteniez des secrets commerciaux, des informations sensibles liées aux marchés financiers ou des données personnelles qui pourraient intéresser des espions. Votre entreprise pourrait aussi avoir une fonction stratégique susceptible d’être sabotée.
Pendant longtemps, des équipements du géant industriel chinois Huawei ont été utilisés dans les stations fournissant le réseau 4G en Norvège. En 2019, une nouvelle loi de sécurité du gouvernement norvégien a empêché Huawei de devenir le fournisseur exclusif de ces réseaux mobiles.
Le réseau mobile est au cœur des communications civiles, contenant des données sensibles pour la vie privée et la sécurité nationale. Bien qu’il soit probable que les entreprises de télécommunications aient pris des précautions contre les risques liés à leurs supply chains, on ne peut pas en être certain.
Faites-vous aveuglément confiance à votre supply chain ?
Nouvelles exigences pour les entreprises européennes
La directive NIS2 est entrée en vigueur dans l’UE le 16 octobre 2024. Cette directive de sécurité impose à des entreprises essentielles ou critiques d’évaluer les risques et de sécuriser leurs supply chains.
Plusieurs pays européens ne l’ont pas encore intégrée dans leur législation nationale – seuls quelques pays comme la Belgique, la Hongrie, la Lettonie et la Croatie l’ont entièrement transposée. Les entreprises européennes doivent tout de même commencer à appliquer ces règles dès maintenant. La directive stipule notamment que :
- Les États membres doivent s’assurer que toutes les entreprises ayant des activités sensibles mettent en œuvre des mesures techniques, opérationnelles et organisationnelles de réduction des risques, y compris pour la sécurité de leur supply chain.
- Cela inclut la relation avec chaque fournisseur, l’évaluation des vulnérabilités de ces derniers, la qualité des produits et les pratiques de cybersécurité des fournisseurs et de leurs sous-traitants.
- Les évaluations des risques coordonnées par l’UE doivent également être prises en compte par les États membres.
Que faire dès maintenant pour se conformer à la directive NIS2 ?
Voici cinq conseils pour les entreprises européennes :
- Choisissez vos fournisseurs sur la base d’une analyse approfondie et d’une évaluation des risques.
- Engagez un dialogue avec eux pour vous assurer qu’ils ont des pratiques de sécurité solides.
- Identifiez les failles dans les zones critiques de votre supply chain.
- Inspectez les livraisons et testez les équipements critiques.
- Mettez en place un système d'accès distant sécurisé pour les fournisseurs ainsi qu'un accompagnement physique lors de leurs interventions sur site.
Certains pays vont créer des réglementations spécifiques sous la directive NIS2, avec des exigences et des approches détaillées. Les entreprises doivent donc vérifier si de telles règles existent dans leur pays.
Si la directive est appliquée correctement, elle permettra de minimiser les risques liés à la supply chain pour les entreprises européennes.