BlueVoyant, société de cyberdéfense leader sur le marché combinant la cybersécurité interne et externe, publie les résultats de sa troisième enquête mondiale annuelle sur la gestion des risques liés à la chaine d’approvisionnement.
Particulièrement complète, cette étude révèle que 98% des entreprises interrogées ont subi l'impact négatif d'une violation de la cybersécurité survenue dans leur chaine d’approvisionnement, ce qui représente une légère augmentation par rapport aux 97% de répondants de l'année dernière. Les chaines d’approvisionnement numériques sont formées des vendeurs et fournisseurs externes qui ont un accès au réseau qui pourrait être compromis.
« L'enquête montre que le risque de cybersécurité dans la chaine d’approvisionnement n'a pas diminué, au contraire. C’est en fait un nombre jamais atteint d'entreprises qui ont déclaré avoir été affectées négativement par une perturbation de la cybersécurité dans leur chaine d’approvisionnement », a déclaré Adam Bixler, responsable mondial de la défense de la chaine d’approvisionnement chez BlueVoyant. La bonne nouvelle est que, dans tous les secteurs et dans toutes les régions, les organisations font de la défense de la chaine d’approvisionnement une priorité. Mais ces organisations doivent encore mieux surveiller les fournisseurs et travailler avec eux pour remédier aux problèmes et réduire le risque. »
Parmi les autres résultats clés de l'enquête, notons que :
- 40 % des répondants mondiaux comptent sur le vendeur ou le fournisseur tiers pour assurer une sécurité adéquate.
- 42% des répondants français déclarent que le risque lié à la chaine d’approvisionnement est une priorité essentielle, mais 10% disent qu'il ne l'est pas. Les autres (48%) déclarent que c'est plutôt une priorité.
- 95% des répondants français surveillent tout ou partie des tiers de leur chaine d’approvisionnement ; parmi eux, 28% seulement surveillent tous les fournisseurs.
- En 2021, 53% des entreprises mondiales avaient déclaré avoir audité ou fait un rapport sur la sécurité des fournisseurs plus de deux fois par an ; ce chiffre s'est amélioré en 2022 pour atteindre 67%. Ces chiffres incluent les entreprises qui effectuent un suivi en temps réel.
- En France, 90% des équipes de direction sont informées des risques de cybersécurité des tiers plus d'une fois par an, 68 % l'étant au moins une fois par trimestre.
- Les budgets de défense de la chaine d’approvisionnement sont en hausse en France, 91% des répondants déclarant que leur budget a augmenté au cours des 12 derniers mois.
- Les principaux points sensibles signalés sont la compréhension interne du fait que les fournisseurs font partie de leur dispositif de cybersécurité (25%), la conformité aux exigences réglementaires (21%) et la collaboration avec les fournisseurs pour améliorer leur sécurité (20%).
« Bien que la défense de la chaine d’approvisionnement soit un défi, il existe des solutions pour que les entreprises puissent mieux se défendre contre ce risque, a déclaré James Rosenthal, CEO et cofondateur de BlueVoyant. Les entreprises doivent surveiller en permanence leur chaine d’approvisionnement pour être en mesure de remédier rapidement aux menaces. Comme les entreprises subissent l'impact négatif des perturbations de la chaine d’approvisionnement, elles doivent donner la priorité à ce risque en y consacrant le budget approprié. »
L'étude a été menée par un organisme de recherche indépendant, Opinion Matters, et a enregistré les points de vue et les expériences de 2 100 directeurs de la technologie (CTO), directeurs de la sécurité (CSO), directeurs de l'exploitation (COO), directeurs de l'information (CIO), responsables de la sécurité informatique (RSSI) et directeurs des achats (CPO) responsables de la gestion de la chaine d’approvisionnement et des cyber-risques.
Les informations ont été collectées dans des entreprises comptant plus de 1 000 employés, actives dans de multiples secteurs : services aux entreprises, services financiers, soins de santé et des produits pharmaceutiques, industrie manufacturière, services publics et de l'énergie, services de la défense notamment. L’étude a couvert 11 pays : États-Unis, Canada, Allemagne, Autriche, Suisse, France, Pays-Bas, Royaume-Uni, Australie, Philippines et Singapour.
Pour rappel, la recherche 2021, qui avait également été menée par Opinion Matters et avait enregistré les points de vue et les expériences de 1 200 CTO/CSO/COO/CIO/RSSI/CPO dans des entreprises similaires et les mêmes industries, couvrait six pays : États-Unis, Canada, Allemagne, Pays-Bas, Royaume-Uni et Singapour.
L'analyse des réponses des différents secteurs commerciaux a révélé des variations considérables dans leurs expériences du risque lié à la chaine d’approvisionnement :
- L’industrie pharmaceutique et des soins de santé soit le troisième secteur vertical en termes d'expérience, d’encadrement et de surveillance par le conseil d'administration des risques de la chaine d’approvisionnement. Pourtant, ce secteur témoigne de la plus faible probabilité d'augmenter le budget des ressources externes pour renforcer la cybersécurité de la chaine d’approvisionnement (42%, soit 7 points en dessous du secteur vertical le plus proche, les services aux entreprises). Parmi tous les secteurs verticaux, ce secteur est également le moins susceptible de savoir si un problème survient dans un environnement tiers (34%).
- Le secteur de l'énergie témoigne d'au moins une violation de la chaine d’approvisionnement au cours de l'année écoulée (99%), ce qui en fait le secteur le plus impacté de tous. Pour autant, 49% des organisations qui s’y trouvent surveillent le cyber-risque de la chaine d’approvisionnement tous les mois, voire en temps réel (parmi celles-ci, 44% informent la direction générale chaque mois, ou plus fréquemment encore). En outre, les entreprises du secteur de l'énergie déclarent augmenter le budget consacré au risque cybernétique de leur chaine d’approvisionnement de 60% en moyenne.
- Dans le secteur de la fabrication, 64% des personnes interrogées déclarent que le cyber-risque de la chaine d’approvisionnement est sur leur radar et 44 % disent avoir établi un programme de gestion intégrée des risques de l'entreprise.
En savoir plus sur le rapport de recherche mondial complet de BlueVoyant : « The State of Supply Chain Defense: Annual Global Insights Report », qui comprend aussi une analyse par pays et par secteur vertical.