Cybervadis, entreprise française filiale d’EcoVadis et dédiée à l’évaluation basée sur la revue de preuves de la cybersécurité des fournisseurs, tiers et partenaires externes des entreprises, publie les résultats de son rapport 2021 « Cybersécurité de la Supply Chain : 5 défis clés à relever »,
Ce rapport se concentre sur cinq sujets clés : la confidentialité des données et la conformité au Règlement général sur la protection des données (RGPD), la gestion des accès, la sécurité du cloud, la détection et la réponse à incident ainsi que la continuité d’activité et la gestion de crise.
En matière de RGPD, le cabinet d’avocats DLA Piper estime que les amendes pour non-conformité ont augmenté de 40 %. La France est le pays ayant infligé la plus lourde amende contre une entreprise, mais elle se situe en troisième position des montants cumulés des sanctions.
Alors que la plupart des organisations sont conscientes des exigences du RGPD, trop nombreuses sont celles qui se concentrent sur les politiques internes de traitement des données et négligent une menace encore plus grande : le risque de cyber sécurité des tiers. L’étude de CyberVadis révèle en effet que moins d’une entreprise sur trois (29 %) a évalué les risques liés au non-respect potentiel de la réglementation sur la confidentialité des données.
Des risques accrus
Selon CyberVadis, 62 % des entreprises évaluées déclarent autoriser l’accès à distance à leurs systèmes. Toutefois, à mesure que les collaborateurs se connectent à distance depuis un réseau domestique, via leurs appareils professionnels et parfois personnels, de nouveaux accès se mettent en place et la surface d’attaque sur l'infrastructure de l’entreprise s'étend à partir des multiples points d'accès.
Il est par conséquent essentiel que les organisations adoptent des pratiques d’authentification avancées, pour faire face à la menace croissante. Mais elles accusent un certain retard sur ces mesures spécifiques, puisque seules 37 % des entreprises déclarent avoir déployé l’authentification forte pour leurs comptes à privilèges. Seulement 25 % des entreprises ont défini une stratégie de gestion des accès par les tiers à leurs systèmes d’information. 26 % des sociétés évaluent les risques liés à l’externalisation dans le cloud ; 30 % demandent à leur fournisseur de service cloud de prouver qu’il a mis en place un processus de réponse à incident ; et 34 % que ce dernier a un plan de continuité. Si 3 entreprises évaluées sur 4 (75 %) ont défini un processus de gestion d’incident, seules 32 % ont déployé une solution de gestion des informations de sécurité et des événements (SIEM) ; et la même proportion a déployé un processus de leçons retenues pour identifier la cause première des incidents et réduire la probabilité de récurrence. 4 % des entreprises interrogées effectuent des exercices réguliers de gestion de crise ; un chiffre bien trop faible face aux cybermenaces