Etude BlackBerry : les cyberattaques contre les chaîne d’approvisionnement ont un impact sur la réputation des entreprises française !
juin 2024 par BlackBerry
BlackBerry Limited présente sa nouvelle étude sur l’ampleur des failles de cybersécurité sur les chaînes d’approvisionnement en logiciels dans les organisations Française. Près de 8 décideurs informatiques français sur 10 ont reçu une notification d’une attaque ou d’une vulnérabilité dans leur chaine d’approvisionnement en logiciels au cours des douze derniers mois. Plus de 50% de ces organisations mettent jusqu’à une semaine pour s’en remettre.
L’enquête auprès de 100 décideurs informatiques et leaders de la cybersécurité à travers l’hexagone - menée en avril 2024 par Coleman Parkes - arrive à un moment où la situation cyber est particulièrement tendue sur le territoire (avec l’arrivée de grands événements internationaux durant l’été 2024).
Cette étude a cherché à identifier les processus mis en place par les entreprises pour gérer les risques de violation de sécurité liés aux chaînes d’approvisionnement en logiciels. Les résultats montrent que les systèmes d’exploitation (28%) et les navigateurs web (14%) continuent d’être la principale source de risques pour les organisations mais moins cependant que les microprogrammes (15%) et l’open source (18%). À la suite d’une attaque de la chaîne d’approvisionnement en logiciels, les responsables informatiques français ont confirmé un niveau élevé d’incidence en termes de perte financière (69 %), de perte de données (60 %), d’atteinte à la réputation (73 %) et d’impact opérationnel sur la poursuite des activités (62%).
Les lacunes en matière de réglementation et de conformité restent importantes
Les organisations françaises ont confirmé avoir mis en place des mesures de sécurité strictes pour prévenir les attaques dans leur chaîne d’approvisionnement en logiciels, notamment le cryptage des données (45 %), la formation du personnel (49 %) et l’authentification multifactorielle (37 %). Par ailleurs, la majorité (71 %) des responsables informatiques estiment que les politiques de cybersécurité de leur fournisseur de logiciels sont comparables, voire plus strictes (26 %), que celles mises en œuvre dans leur propre organisation. En outre, la quasi-totalité (97 %) des personnes interrogées ont confiance dans la capacité de leurs fournisseurs à identifier et à prévenir l’exploitation d’une vulnérabilité dans leur environnement.
Pourtant, lorsqu’il s’agit de recueillir des preuves attestant du niveau de sécurité logicielle d’un fournisseur pour étayer ce niveau de confiance, moins de la moitié (44 %) des décideurs informatiques français ont déclaré demander une certification confirmant leur conformité, et un nombre encore plus faible demande les procédures opérationnelles normalisées (36%) et des rapports d’audit (31 %).
Il est intéressant de constater que 27% des entreprises en France ajoutent des clauses à leur contrat à destination des partenaires demandant d’attester du niveau de sécurité de la chaine d’approvisionnement. De plus, 76% des personnes interrogées ont découvert au cours des 12 derniers mois, des acteurs inconnus au sein de leur chaîne d’approvisionnement en logiciels. Acteurs dont ils n’avaient pas connaissance auparavant et dont ils n’avaient pas contrôlé les pratiques en matière de sécurité.
La compréhension technique : la grande absente des inventaires des chaînes d’approvisionnement en logiciels
Il est encourageant de constater que de nombreux décideurs informatiques dans l’hexagone (75%) ont confirmé être confiant quant aux capacités de leurs partenaires à mettre en place une stratégie de mise en conformité efficace.
Ils ont également spécifié effectuer un inventaire de leur environnement logiciel en temps quasi réel (18 %) ou tous les mois (31 %), près d’un tiers (20 %) n’effectuant ce processus que tous les trimestres. En outre, une entreprise sur dix (16 %) déclare réaliser ce processus tous les 3 à 6 mois.
Cependant, plusieurs facteurs empêchent les entreprises d’effectuer des contrôles plus fréquents, notamment le manque de compréhension technique (46 %), de visibilité (44 %), d’outils efficaces (46 %) et de talents qualifiés (30 %).
Ainsi, plus des trois quarts (77 %) ont déclaré qu’ils accueilleraient favorablement des outils permettant d’améliorer l’inventaire des bibliothèques de logiciels au sein de leur chaîne d’approvisionnement et de fournir une plus grande visibilité sur les logiciels touchés par une vulnérabilité.
« Notre dernière étude arrive à un moment où l’intérêt réglementaire et législatif sur le sujet de la sécurité de la chaîne d’approvisionnement des logiciels augmente », a déclaré Keiron Holyome, VP de UKI & Emerging Markets chez BlackBerry. « Il est encourageant de constater que les exigences réglementaires entraînent des changements de comportement, avec un nombre croissant d’entreprises françaises qui surveillent désormais de manière proactive l’environnement de leur chaîne d’approvisionnement en logiciels. Toutefois, le manque de connaissances techniques et de confiance pour agir face aux menaces potentielles continue d’exposer les vulnérabilités à leur exploitation par les cybercriminels, et les attaques qui en résultent ont des conséquences financières plus importantes. »
« La façon dont une entreprise surveille et gère la cybersécurité dans sa chaîne d’approvisionnement en logiciels ne doit pas reposer uniquement sur la confiance », poursuit Holyome, « les responsables informatiques doivent s’attaquer en priorité au manque de visibilité. Heureusement, les technologies modernes de détection et de réponse gérées (MDR) alimentées par l’IA peuvent fournir une protection contre les menaces 24 heures sur 24 et 7 jours sur 7, permettant aux équipes informatiques de s’attaquer aux menaces émergentes dans leur chaîne d’approvisionnement en logiciels et de traverser les incidents de sécurité complexes en toute confiance. »