Demandez une démo

Toyota interrompt sa production : Six étapes pour renforcer la cybersécurité de la chaîne d'approvisionnement

Une cyberattaque contre un fournisseur clé a interrompu la production dans plusieurs usines Toyota au Japon. Votre organisation pourrait-elle faire face à une interruption de la chaîne d'approvisionnement ? Suivez ces six étapes pour être mieux préparé.
Par :
Scott Lang
,
VP, Marketing produit
01 mars 2022
Partager :
Blog toyota supply chain cyberattack 0322

Le 28 février 2022, Toyota a annoncé que l'entreprise suspendait les opérations sur les 28 lignes de production de 14 usines de fabrication au Japon pendant une journée en raison d'une défaillance du système chez un fournisseur, Kojima Industries. D'autres partenaires de Toyota, dont Hino Motors et Daihatsu Motor, ont également été touchés par cet arrêt. La cause de la défaillance du système chez Kojima semble être une cyberattaque qui a empêché les communications avec Toyota et les systèmes de surveillance de la production. Le 1er mars, Toyota a annoncé qu'elle reprenait ses activités pour la première équipe de production seulement à partir du 2 mars.

Cet incident est un exemple clair du risque encouru lorsqu'un fournisseur essentiel est incapable de livrer, et il démontre l'effet domino des conséquences négatives tout au long de la chaîne d'approvisionnement. L'arrêt de la production pendant une journée (et la réduction du nombre d'équipes pendant des jours supplémentaires) pourrait faire manquer les objectifs de production, les revenus et les bénéfices attendus par Toyota, sans parler de la perte de confiance des clients.

Six étapes pour renforcer la sécurité de la chaîne d'approvisionnement

La réalité de la sécurité de la chaîne d'approvisionnement est que, bien que votre organisation ne soit pas responsable de la sécurité des fournisseurs, elle assume une partie du risque. Alors, comment les fabricants et autres organisations peuvent-ils atténuer les risques de défaillance de la chaîne d'approvisionnement liés à cyber? Considérez les six étapes suivantes.

1. Améliorer les évaluations de la cybersécurité lors de la sélection des fournisseurs et de la vérification préalable des contrats.

La réalisation d'un contrôle préalable au contrat permet de s'assurer qu'un nouveau fournisseur n'introduit pas de risques inacceptables dans votre environnement. Le processus implique la réalisation d'évaluations des pratiques du fournisseur en matière de sécurité de l'information, de sécurité opérationnelle et de résilience de l'entreprise. Et bien que cet incident particulier soit lié à cyber, les organisations devraient étendre leurs efforts de diligence raisonnable pré-contractuelle pour inclure également des évaluations de la position financière et de la réputation d'un fournisseur. Par exemple, si un fournisseur a des nouvelles négatives concernant ses produits, ou a montré des performances financières irrégulières, il peut être incapable de s'adapter rapidement à l'évolution des demandes de production ou pourrait sous-financer la sécurité. Ces informations alimentent les calculs de risque inhérent qui aident à déterminer les domaines nécessitant une évaluation plus approfondie.

Afin d'améliorer la diligence raisonnable avant contrat, de nombreuses entreprises choisissent d'exploiter des bibliothèques d'évaluations de risques fournisseurs déjà réalisées sur cyber . Il suffit de télécharger une évaluation terminée pour obtenir la visibilité nécessaire sur les risques d'un fournisseur potentiel, plus rapidement qu'en procédant vous-même à une évaluation complète.

2. Établir des niveaux de service exécutoires dans les contrats

Pour réduire efficacement les risques liés aux fournisseurs, il faut comprendre comment ils se comportent par rapport aux attentes, et cela commence par l'établissement de niveaux de service exécutoires pendant la phase contractuelle. Les niveaux de service mesurables peuvent inclure le temps de fonctionnement, le temps moyen de détection (MTTD) de la raison d'une panne et le temps moyen de reprise (MTTR) des opérations après une panne. La phase contractuelle est également le bon moment pour inclure des clauses clés garantissant le basculement et la sauvegarde du système, notamment parce qu'il n'est pas facile de simplement "éteindre" un fournisseur et de le remplacer par un autre. Enfin, la gestion centralisée des indicateurs clés de performance (ICP) et des indicateurs clés de risque (ICR) apporte une visibilité à l'échelle de l'entreprise sur les performances des fournisseurs.

Avec de nombreuses parties internes et externes impliquées dans la négociation des contrats, le processus peut rapidement devenir incontrôlable. Pour remédier à ce problème, de nombreuses entreprises se standardisent sur des produits de gestion du cycle de vie des contrats qui fournissent des vues spécifiques aux rôles pour suivre les attributs de performance clés, permettent le contrôle des versions et les discussions intégrées, ainsi que le flux de travail pour faire passer les contrats plus efficacement par la phase de révision et d'approbation.

3. Évaluer les fournisseurs par rapport aux contrôles de cybersécurité de la chaîne d'approvisionnement standard de l'industrie

La diligence raisonnable pré-contractuelle apportera la visibilité nécessaire aux risques inhérents qu'un nouveau fournisseur introduit dans votre environnement, mais les évaluations des risques ne s'arrêtent pas à l'étape de l'embarquement. Heureusement, il existe plusieurs cadres sectoriels qui rendent le processus d'évaluation détaillée des contrôles beaucoup plus normalisé qu'en utilisant des feuilles de calcul. Par exemple, les normes NIST 800-61 et ISO 27036 comportent des séries de questions spécifiques conçues pour évaluer les contrôles de sécurité des fournisseurs.

Lesplateformes tierces de gestion des risques automatisent la collecte des réponses aux questionnaires des fournisseurs ainsi que l'attribution et le suivi des risques. Elles intègrent également des recommandations de remédiation pour ramener ces risques à un niveau acceptable. Lorsque les fournisseurs sont "trop gros pour faire faillite", vous pouvez vous tourner vers des fournisseurs experts pour effectuer la collecte et l'analyse de l'évaluation et de la diligence raisonnable. services manages pour qu'ils effectuent la collecte et l'analyse de l'évaluation de la diligence raisonnable en votre nom, permettant ainsi à votre équipe de se concentrer sur les mesures correctives.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

4. Surveiller en permanence les fournisseurs pour détecter les signaux d'alerte précoce

Les évaluations des risques fournissent une vue ponctuelle des contrôles de sécurité d'un fournisseur et, bien qu'elles soient essentielles à la compréhension de sa position en matière de sécurité, vous devez également maintenir une vue continue des risques - cyber ou autre - qui peuvent avoir un impact sur la capacité de votre fournisseur à livrer.

La surveillance de de l'Internet et du dark web à la recherche de cyber menaces et vulnérabilités - ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances - peut fournir des signaux d'un incident de sécurité imminent. Envisagez la surveillance :

  • Cyber: Les forums criminels, les pages oignons, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification ayant fait l'objet d'une fuite, les communautés de sécurité, les dépôts de code et les bases de données sur les vulnérabilités et les piratages/ruptures peuvent fournir des indicateurs historiques et actuels de compromission.
  • Les affaires : Les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques et les mises à jour opérationnelles peuvent signaler une perte d'intérêt pour la cybersécurité.
  • Financier : De mauvaises performances financières peuvent signaler des coupes budgétaires qui ont un impact sur les opérations de sécurité.

L'intégration de ces informations dans votre processus holistique d'examen des fournisseurs ajoute un contexte aux événements et aide à valider les contrôles évalués à l'étape 3 ci-dessus.

5. Connaître sa chaîne d'approvisionnement élargie

Parfois, un incident de cybersécurité dans votre écosystème étendu de fournisseurs (par exemple les fournisseurs de vos fournisseurs) peut avoir un impact sur la capacité de votre fournisseur à livrer, et donc sur votre capacité à livrer. Dans le cadre de l'étape de diligence raisonnable précontractuelle, recueillez des informations auprès de vos fournisseurs sur leurs fournisseurs afin d'établir une carte des relations. Cela vous aidera à découvrir les dépendances et à visualiser les points faibles de votre chaîne d'approvisionnement. Cela peut être aussi simple que de connaître les technologies de quatrième partie déployées dans votre écosystème de fournisseurs afin de déterminer lesquelles seraient potentiellement exposées à une violation ciblée. Au lieu de vous appuyer sur plusieurs outils non intégrés pour recueillir ces informations, recherchez des solutions de surveillance uniques qui construisent automatiquement cette base de données pour vous.

6. Activez votre plan de réponse aux incidents impliquant des tiers

Si un incident de cybersécurité se produisait dans votre chaîne d'approvisionnement, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan de réponse aux incidents ? Le temps étant un facteur essentiel dans la réponse aux incidents, le fait d'être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels de la chaîne d'approvisionnement. Un plan de réponse aux incidents d'un tiers plus programmatique pourrait inclure les éléments suivants :

  • Une base de données centralisée des fournisseurs et des technologies sur lesquelles ils s'appuient.
  • Des évaluations préétablies de la résilience, de la continuité et de la sécurité de l'entreprise pour évaluer la probabilité et l'impact d'un incident.
  • Notation et pondération pour aider à se concentrer sur les risques les plus importants.
  • Des recommandations intégrées pour remédier aux vulnérabilités potentielles
  • Rapport spécifique aux parties prenantes pour répondre à la demande inévitable du conseil d'administration.

Prochaines étapes de la gestion des risques liés à la chaîne d'approvisionnement

La perturbation de la chaîne d'approvisionnement de Toyota nous rappelle que toutes les organisations, quelles que soient la sophistication et la diversité de leurs systèmes, peuvent être touchées par la défaillance d'un fournisseur ou par un incident sur le site cyber . Évaluez la posture de sécurité de la chaîne d'approvisionnement de votre propre organisation à l'aide des six étapes présentées ici, ou contactez Prevalent pour une session de stratégie ou une évaluation de la maturité de vos processus de gestion des risques de la chaîne d'approvisionnement existants.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo