Êtes-vous le maillon faible pour vos clients?

Cet article a été écrit dans le cadre de notre collaboration avec la STIQ à titre de membre. Nous voulons aider les entreprises manufacturières à comprendre les enjeux de cybersécurité propres à leur secteur d’activité et, donc, à se protéger.

L’imagination populaire décrit souvent certains groupes de crime organisés de hackers comme des prodiges que rien n’arrête. Nous les voyons réussir à compromettre les systèmes du gouvernement américain ou de multinationales qui ont investi des millions de dollars en cybersécurité.

En partant de ce constat, le raccourci facile est de se dire qu’il n’y a rien à faire, que si même des organisations de cette envergure sont touchées, le combat est perdu d’avance.

Il est certain que malheureusement, il ne sera jamais possible de se protéger à 100%, mais protéger nos données est un travail collectif et chaque joueur a son rôle à jouer.

Les hackers, si compétents soient-ils, vont toujours essayer de trouver le chemin le plus court vers leur cible. Ok le challenge c’est stimulant, mais pourquoi se compliquer la vie?

Prenons un exemple pour illustrer : le groupe de criminels veut attaquer un géant comme une multinationale, car il sait qu’il pourra demander une plus grosse rançon ou que les données vaudront plus cher. Cette entreprise a investi énormément pour sécuriser ses systèmes, ce ne sera pas un jeu d’enfant. Mais cette compagnie ne vit pas dans un monde isolé, elle a des fournisseurs, dont beaucoup de PME qui n’ont pas grand-chose en place en cybersécurité. Et ces fournisseurs ont certains accès dans les systèmes de la multinationale cible. Vous voyez où on s’en va?

Les criminels visent le maillon le plus faible de la chaîne d’approvisionnement, et souvent, c’est vous.

Voici quelques exemples réels :

• Meteo Media en septembre 2023
• BRP en août 2022
• Airbus en septembre 2023 (via un client d’Airbus, mais le principe reste le même)
• Exemple très local, la STS en août 2022
• cherchez « cyberattaque fournisseur » sur Google Actualité et la liste est sans fin.

Vous noterez que ce n’est pas le fournisseur compromis qui est nommé dans les titres de ces articles, c’est la grande organisation en arrière. Le fournisseur « responsable » sera nommé dans l’article, mais ce ne sera pas la cible principale des médias. L’atteinte à la réputation sera pire pour le client qui a simplement commis l’erreur de faire confiance à ses fournisseurs.

Est-ce que vous voyez apparaître de plus en plus de critères de cybersécurité, comme la réalisation de tests d’intrusion, dans les appels d’offre de vos clients?

C’est pour ça. Ils veulent simplement se protéger au maximum de ce vecteur d’attaque. Pour gagner des points auprès de vos clients, voire pour simplement pouvoir faire affaire avec eux, vous n’avez pas le choix d’investir en cybersécurité.

Outre le volet développement d’affaires, rappelez-vous également que si un groupe criminel vous vise pour toucher un gros joueur, il ne se contentera sûrement pas de juste vous utiliser comme point d’entrée. Il va certainement voler des données sensibles et/ou déployer un ransomware dans votre entreprise.

• Combien coûte une heure d’arrêt de chaîne de production?
• Avez-vous des backups en place?
• Combien de temps ça prendrait de rebâtir tout votre réseau à partir de ces backs up? (spoiler alert : sûrement plus que ce que vous pensez)
• Selon cette réponse, combien ça coûterait d’avoir des employés incapables de travailler? Une production arrêtée?

Très certainement plus que le budget à investir pour avoir un niveau de protection adéquat. On déteste jouer sur le volet « peur » dans notre domaine, mais c’est notre responsabilité de sensibiliser les entreprises aux vrais enjeux.

Ne soyez pas le maillon faible de vos clients, ramenez la cybersécurité au niveau stratégique de votre entreprise et prenez action.

Peace ✌️

Cyndie & Nicholas