Le 28 février 2022, Toyota a annoncé que l'entreprise suspendait les opérations sur les 28 lignes de production de 14 usines de fabrication au Japon pendant une journée en raison d'une défaillance du système chez un fournisseur, Kojima Industries. D'autres partenaires de Toyota, dont Hino Motors et Daihatsu Motor, ont également été touchés par cet arrêt. La cause de la défaillance du système chez Kojima semble être une cyberattaque qui a empêché les communications avec Toyota et les systèmes de surveillance de la production. Le 1er mars, Toyota a annoncé qu'elle reprenait ses activités pour la première équipe de production seulement à partir du 2 mars.
Cet incident est un exemple clair du risque encouru lorsqu'un fournisseur essentiel est incapable de livrer, et il démontre l'effet domino des conséquences négatives tout au long de la chaîne d'approvisionnement. L'arrêt de la production pendant une journée (et la réduction du nombre d'équipes pendant des jours supplémentaires) pourrait faire manquer les objectifs de production, les revenus et les bénéfices attendus par Toyota, sans parler de la perte de confiance des clients.
La réalité de la sécurité de la chaîne d'approvisionnement est que, bien que votre organisation ne soit pas responsable de la sécurité des fournisseurs, elle assume une partie du risque. Alors, comment les fabricants et autres organisations peuvent-ils atténuer les risques de défaillance de la chaîne d'approvisionnement liés à cyber? Considérez les six étapes suivantes.
La réalisation d'un contrôle préalable au contrat permet de s'assurer qu'un nouveau fournisseur n'introduit pas de risques inacceptables dans votre environnement. Le processus implique la réalisation d'évaluations des pratiques du fournisseur en matière de sécurité de l'information, de sécurité opérationnelle et de résilience de l'entreprise. Et bien que cet incident particulier soit lié à cyber, les organisations devraient étendre leurs efforts de diligence raisonnable pré-contractuelle pour inclure également des évaluations de la position financière et de la réputation d'un fournisseur. Par exemple, si un fournisseur a des nouvelles négatives concernant ses produits, ou a montré des performances financières irrégulières, il peut être incapable de s'adapter rapidement à l'évolution des demandes de production ou pourrait sous-financer la sécurité. Ces informations alimentent les calculs de risque inhérent qui aident à déterminer les domaines nécessitant une évaluation plus approfondie.
Afin d'améliorer la diligence raisonnable avant contrat, de nombreuses entreprises choisissent d'exploiter des bibliothèques d'évaluations de risques fournisseurs déjà réalisées sur cyber . Il suffit de télécharger une évaluation terminée pour obtenir la visibilité nécessaire sur les risques d'un fournisseur potentiel, plus rapidement qu'en procédant vous-même à une évaluation complète.
Pour réduire efficacement les risques liés aux fournisseurs, il faut comprendre comment ils se comportent par rapport aux attentes, et cela commence par l'établissement de niveaux de service exécutoires pendant la phase contractuelle. Les niveaux de service mesurables peuvent inclure le temps de fonctionnement, le temps moyen de détection (MTTD) de la raison d'une panne et le temps moyen de reprise (MTTR) des opérations après une panne. La phase contractuelle est également le bon moment pour inclure des clauses clés garantissant le basculement et la sauvegarde du système, notamment parce qu'il n'est pas facile de simplement "éteindre" un fournisseur et de le remplacer par un autre. Enfin, la gestion centralisée des indicateurs clés de performance (ICP) et des indicateurs clés de risque (ICR) apporte une visibilité à l'échelle de l'entreprise sur les performances des fournisseurs.
Avec de nombreuses parties internes et externes impliquées dans la négociation des contrats, le processus peut rapidement devenir incontrôlable. Pour remédier à ce problème, de nombreuses entreprises se standardisent sur des produits de gestion du cycle de vie des contrats qui fournissent des vues spécifiques aux rôles pour suivre les attributs de performance clés, permettent le contrôle des versions et les discussions intégrées, ainsi que le flux de travail pour faire passer les contrats plus efficacement par la phase de révision et d'approbation.
La diligence raisonnable pré-contractuelle apportera la visibilité nécessaire aux risques inhérents qu'un nouveau fournisseur introduit dans votre environnement, mais les évaluations des risques ne s'arrêtent pas à l'étape de l'embarquement. Heureusement, il existe plusieurs cadres sectoriels qui rendent le processus d'évaluation détaillée des contrôles beaucoup plus normalisé qu'en utilisant des feuilles de calcul. Par exemple, les normes NIST 800-61 et ISO 27036 comportent des séries de questions spécifiques conçues pour évaluer les contrôles de sécurité des fournisseurs.
Lesplateformes tierces de gestion des risques automatisent la collecte des réponses aux questionnaires des fournisseurs ainsi que l'attribution et le suivi des risques. Elles intègrent également des recommandations de remédiation pour ramener ces risques à un niveau acceptable. Lorsque les fournisseurs sont "trop gros pour faire faillite", vous pouvez vous tourner vers des fournisseurs experts pour effectuer la collecte et l'analyse de l'évaluation et de la diligence raisonnable. services manages pour qu'ils effectuent la collecte et l'analyse de l'évaluation de la diligence raisonnable en votre nom, permettant ainsi à votre équipe de se concentrer sur les mesures correctives.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Les évaluations des risques fournissent une vue ponctuelle des contrôles de sécurité d'un fournisseur et, bien qu'elles soient essentielles à la compréhension de sa position en matière de sécurité, vous devez également maintenir une vue continue des risques - cyber ou autre - qui peuvent avoir un impact sur la capacité de votre fournisseur à livrer.
La surveillance de de l'Internet et du dark web à la recherche de cyber menaces et vulnérabilités - ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances - peut fournir des signaux d'un incident de sécurité imminent. Envisagez la surveillance :
L'intégration de ces informations dans votre processus holistique d'examen des fournisseurs ajoute un contexte aux événements et aide à valider les contrôles évalués à l'étape 3 ci-dessus.
Parfois, un incident de cybersécurité dans votre écosystème étendu de fournisseurs (par exemple les fournisseurs de vos fournisseurs) peut avoir un impact sur la capacité de votre fournisseur à livrer, et donc sur votre capacité à livrer. Dans le cadre de l'étape de diligence raisonnable précontractuelle, recueillez des informations auprès de vos fournisseurs sur leurs fournisseurs afin d'établir une carte des relations. Cela vous aidera à découvrir les dépendances et à visualiser les points faibles de votre chaîne d'approvisionnement. Cela peut être aussi simple que de connaître les technologies de quatrième partie déployées dans votre écosystème de fournisseurs afin de déterminer lesquelles seraient potentiellement exposées à une violation ciblée. Au lieu de vous appuyer sur plusieurs outils non intégrés pour recueillir ces informations, recherchez des solutions de surveillance uniques qui construisent automatiquement cette base de données pour vous.
Si un incident de cybersécurité se produisait dans votre chaîne d'approvisionnement, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan de réponse aux incidents ? Le temps étant un facteur essentiel dans la réponse aux incidents, le fait d'être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels de la chaîne d'approvisionnement. Un plan de réponse aux incidents d'un tiers plus programmatique pourrait inclure les éléments suivants :
La perturbation de la chaîne d'approvisionnement de Toyota nous rappelle que toutes les organisations, quelles que soient la sophistication et la diversité de leurs systèmes, peuvent être touchées par la défaillance d'un fournisseur ou par un incident sur le site cyber . Évaluez la posture de sécurité de la chaîne d'approvisionnement de votre propre organisation à l'aide des six étapes présentées ici, ou contactez Prevalent pour une session de stratégie ou une évaluation de la maturité de vos processus de gestion des risques de la chaîne d'approvisionnement existants.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024