Le risque cyber croissant pour les chaînes d’approvisionnement

Source: JDA
Il y a 1 heure
Visites: 60
Tweeter

Alors que la guerre actuelle au Moyen-Orient s’intensifie, les gouvernements et les experts en sécurité ont averti que le conflit pourrait s’étendre au cyberespace. Les entreprises et les chaînes d’approvisionnement, en particulier celles des États-Unis et de leurs alliés, pourraient être confrontées à des cyberattaques asymétriques ou de représailles de la part de l’Iran ou de groupes affiliés cherchant à exercer une pression au-delà du champ de bataille. Dans ce contexte, la cyber-résilience des réseaux d’approvisionnement mondiaux n’est plus une préoccupation théorique, mais une priorité opérationnelle urgente.

Pendant des décennies, les chaînes d’approvisionnement ont été conçues principalement pour minimiser les coûts et maximiser la vitesse et l’échelle. La cybersécurité était souvent considérée comme un élément secondaire, une protection technique sans incidence sur les décisions opérationnelles. Dans l’économie actuelle, axée sur l’IA et les données, ce n’est plus le cas. La cyberpréparation et les opérations de la chaîne d’approvisionnement sont désormais étroitement liées.

Les chaînes d’approvisionnement sont devenues des écosystèmes numériques adaptatifs plutôt que des flux linéaires de marchandises. Les réseaux de fabricants, de prestataires logistiques, de plateformes logicielles et de services de données s’appuient sur des systèmes partagés, des API et une infrastructure cloud. Les moteurs de décision autonomes alimentés par l’IA ont accéléré l’intégration en automatisant la planification, l’approvisionnement, les prévisions et l’exécution.

Si cette architecture offre une efficacité extraordinaire, elle crée également une fragilité systémique. Les perturbations de la chaîne d’approvisionnement sont de plus en plus souvent déclenchées non pas par des événements météorologiques ou des conflits sociaux, mais par des incidents cybernétiques qui compromettent l’intégrité des données, la disponibilité des systèmes et la confiance mutuelle. Ces incidents trouvent souvent leur origine en dehors de l’entreprise, chez des fournisseurs, des prestataires de services ou des éditeurs de logiciels dont les capacités et les ressources varient considérablement. Les attaquants ciblent souvent les petites entreprises disposant de peu de ressources comme points d’entrée dans les grandes organisations.

L’année dernière, Marks & Spencer a déclaré environ 300 millions de dollars de pertes après qu’une attaque par ransomware (lancée par l’intermédiaire d’un fournisseur) l’ait contrainte à suspendre ses opérations en ligne et ait laissé les rayons des magasins en rupture de stock. Les récentes attaques qui ont touché des organisations telles que Jaguar Land Rover, Victoria's Secret, Toyota, British Airways, Applied Materials, Ticketmaster et Asahi continuent de montrer à quel point les écosystèmes commerciaux mondiaux restent vulnérables. Selon le rapport 2025 Verizon Data Breach Investigations Report, 30 % des violations impliquent désormais un tiers, soit une augmentation de 100 % par rapport aux 15 % signalés précédemment.

Il en résulte une forme de risque opérationnel qui ne se limite plus aux limites des chaînes d’approvisionnement et qui ne peut être gérée par les modèles de gouvernance traditionnels. Pour les dirigeants d’entreprise, la cybersécurité est devenue un défi insoluble que la technologie seule ne peut résoudre. Au lieu d’être un problème informatique interne qui peut être délégué et oublié, elle doit être traitée comme une discipline commerciale fondamentale, renforcée par la culture et le comportement.

Le paradoxe de la chaîne d’approvisionnement moderne est qu’elle est alimentée par l’automatisation, mais régie par la discrétion humaine. Chaque jour, des milliers de personnes, des responsables des achats au siège social des entreprises aux gestionnaires d’entrepôts chez les fournisseurs en amont, prennent des décisions qui rendent les systèmes plus résilients ou plus vulnérables.

L’IA exacerbe cette dynamique. Les systèmes automatisés dépendent d’un flux ininterrompu de données fiables. Lorsque les données sont compromises ou manipulées, les perturbations peuvent se propager rapidement, influençant négativement les processus de planification et d’exécution et amplifiant les erreurs à grande échelle. L’IA générative a également accru l’efficacité de l’ingénierie sociale. Au lieu de pirater du code, les attaquants peuvent désormais « pirater » les employés, en exploitant leur confiance en se faisant passer de manière convaincante pour des fournisseurs, des cadres ou des collègues.

Ainsi, aucune organisation ne peut garantir à elle seule sa cyberpréparation. La gestion de ces menaces nécessite une collaboration avec des parties prenantes aux capacités et aux niveaux de maturité variés à travers le réseau de la chaîne d’approvisionnement. Les dirigeants d’entreprise doivent considérer la cyberpréparation comme une capacité opérationnelle, au même titre que la qualité ou la sécurité, avec pour objectif la continuité en situation de stress. Leurs entreprises sont-elles prêtes à prévenir, à résister et à se remettre des perturbations cybernétiques sur l’ensemble de leurs chaînes d’approvisionnement ? Peuvent-elles maintenir la circulation des marchandises, la fiabilité des données et l’alignement des partenaires même lorsque les systèmes sont compromis ?

Une caractéristique déterminante d’une chaîne d’approvisionnement cyber-prête est la responsabilité des dirigeants. Les dirigeants doivent s’approprier cette question, en intégrant les scénarios cybernétiques dans la gestion des risques de l’entreprise et en établissant des responsabilités claires en cas d’incident.

De plus, les attentes au sein de l’écosystème doivent être standardisées et pratiques. Plutôt que d’imposer des exigences complexes et contraignantes en matière de conformité, les grandes entreprises doivent définir des pratiques de base (telles que les contrôles d’accès, la discipline en matière de correctifs, la formation de sensibilisation des employés et le signalement des incidents) que les fournisseurs peuvent raisonnablement respecter. Elles doivent également fournir aux partenaires disposant de ressources limitées, notamment ceux qui fournissent des matières premières essentielles, une formation centrée sur l’humain et un mentorat entre pairs.

Tout comme la cohérence est plus importante que la perfection dans une chaîne d’approvisionnement cyber-prête, la préparation est plus importante que la prévention. Les incidents cybernétiques sont inévitables. Les organisations doivent investir dans la redondance, la segmentation, les systèmes de sauvegarde et les plans de reprise testés afin de garantir qu’une perturbation dans un maillon ne mette pas à mal l’ensemble de l’opération. Elles doivent s’entraîner à gérer ces incidents comme elles le feraient pour des catastrophes naturelles ou des défaillances logistiques.

Une communication claire et un soutien aux petits partenaires contribuent à instaurer la confiance, autre élément essentiel d’une chaîne d’approvisionnement cyber-prête. Lorsque des incidents se produisent, les organisations doivent privilégier la rapidité et la transparence plutôt que les reproches, car la dissimulation ne fait qu’amplifier les dommages dans les systèmes interconnectés.

Enfin, la cyberpréparation doit être intégrée dans les flux de travail. Des vulnérabilités apparaissent lorsque les employés sont contraints de contourner les contrôles de sécurité pour atteindre leurs objectifs opérationnels. Les responsables doivent veiller à ce que les pressions liées à l’efficacité n’incitent pas à prendre des raccourcis.

Les dirigeants d’entreprise peuvent prendre des mesures immédiates pour commencer à mettre en place une chaîne d’approvisionnement cyber-prête. Ils peuvent cartographier les dépendances critiques, en se concentrant sur les domaines où l’intégration numérique et l’échange de données sont les plus essentiels. Cela signifie identifier les partenaires, les systèmes et les flux de données qui causeraient les perturbations les plus importantes s’ils étaient compromis, ainsi que les points de contact humains les plus importants, où les décisions sont prises, les données changent de mains et la pression pour agir rapidement est la plus forte. Grâce à ces informations, les chefs d’entreprise peuvent définir des attentes de base et soutenir leurs fournisseurs les plus limités en ressources.

À mesure que l’IA, l’automatisation et la complexité géopolitique remodèlent les réseaux d’approvisionnement mondiaux, les cyber-risques continueront d’évoluer et de croître. Il n’est plus facultatif de s’y préparer. Les entreprises qui développent leur cyber-préparation auront plus de chances de maintenir la continuité de leur chaîne d’approvisionnement et leur avantage concurrentiel ; celles qui ne le font pas risquent de devenir fragiles sur le plan opérationnel dans un monde de plus en plus instable.

Par Marko Kovacevic et Sasha Pailet Koff