Les entreprises atteignent une digitalisation inédite grâce à une connectivité accélérée. L’utilisation des données offre l’opportunité de mieux surveiller, analyser, prédire et atténuer les risques.
Les entreprises atteignent une digitalisation inédite grâce à une connectivité accélérée. L’utilisation des données offre l’opportunité de mieux surveiller, analyser, prédire et atténuer les risques. Toutefois, ces mêmes atouts présentent de nouvelles vulnérabilités que les acteurs de la menace cybernétique peuvent exploiter, de sorte que la protection des données ainsi que les systèmes qui les traitent, transfèrent et stockent sont essentiels.
La cybersécurité fait désormais partie des priorités absolues à l’échelle internationale, selon la dernière enquête annuelle mondiale auprès des PDG menée par PwC, talonnant la pandémie pour ce qui est des inquiétudes extrêmes. Ainsi, la stratégie de gestion du risque cybernétique ne doit plus être considérée comme une préoccupation réservée aux directeurs de la technologie et de l’informatique. Elle doit également être à l’ordre du jour de chaque directeur de la chaîne logistique et de chaque directeur technique.
Une approche prédictive de la gestion des risques
Les données peuvent transformer la gestion des risques et la résilience. Les bonnes données et les bons outils d’analyse et d’inspection peuvent aider à identifier là où les risques sont les plus susceptibles de survenir ou pas à l’avenir, ce qui permet de concentrer les ressources dans les domaines où l’on obtient la plus forte valeur ajoutée. L’utilisation de ces paramètres peut également éviter que les émotions n’influencent la prise de décisions : les risques que nous supposons être les plus importants ne sont pas forcément ceux qui nécessitent la surveillance la plus étroite.
S’il s’avère qu’un composant ou une technique présentent un plus grand risque de dysfonctionnement, il ne peut pas être judicieux de réaliser un audit ou une inspection selon le même calendrier. De même, des méthodes plus efficaces peuvent être développées pour les domaines à faible risque, ce qui permet de réaffecter des ressources pour se concentrer sur les activités à plus haut risque à assurer. Un partenaire numérique expérimenté sera en mesure d’offrir des recommandations sur les données à surveiller et la manière de les analyser et d’agir en conséquence.
Le besoin de transformation numérique cohérente
La transformation numérique offre une formidable opportunité, mais l’expérience montre que la mise en œuvre peut relever de la gageure et qu’il est peu probable qu’elle ait l’impact adéquat si son approche est fragmentée. Une étude de 2020 a montré que 59 % des mises à niveau numériques réalisées au début de la pandémie étaient des solutions à court terme résultant de déploiements précipités. Cela aurait pu être évité si l’amélioration continue et l’atténuation des risques avaient été mieux intégrées dans le processus de gestion du changement.
Une erreur communément rencontrée est l’adoption d’une approche axée sur la technologie pour le seul fait de la mettre en œuvre. Pour les organisations qui cherchent à numériser leur activité et leurs programmes de gestion des risques, le point de départ doit être les problèmes qu’elles veulent résoudre et non la technologie ou la source de données qui leur semble manquer. Cette démarche requiert une stratégie d’amélioration continue numérique cohérente avec la bonne combinaison de personnes, de processus et de technologie.
Données de la chaîne logistique et risque cybernétique
La numérisation et les flux de données croissants démultiplient les vulnérabilités potentielles pouvant être exploitées par des auteurs de menaces malveillantes. Les fournisseurs sont une source essentielle de données pour toute entreprise qui souhaite obtenir une photographie complète de ses activités et de son assurance qualité, mais cette chaîne logistique numérique requiert également une gestion de la cybersécurité Les organisations doivent être conscientes non seulement de leurs propres stratégies de gestion des risques cybernétiques, mais également des éventuelles menaces cybernétiques pouvant survenir pendant qu’elles évaluent la chaîne logistique.
Ces dernières années, nous avons assisté à un tournant dans le paysage des menaces cybernétiques, le ransomware ayant doublé en fréquence jusqu’à représenter 10 % de toutes les violations, mais ciblant toujours plus les chaînes logistiques à l’aide de ransomwares dormants. Ces attaques permettent non seulement d’obtenir des privilèges sur le réseau hôte, mais également de voir comment toucher l’ensemble de l’écosystème. La nature globale des chaînes logistiques augmente l’impact potentiel de ces attaques, ce qui rend l’évaluation des risques liés à la cybersécurité d’autant plus importante.
Vers une surveillance continue
Dans cet environnement, les audits traditionnels couplés à une évaluation annuelle des risques cybernétiques ne sont plus adéquats. Ils ne fournissent qu’un instantané des systèmes à un instant précis sans prendre en compte les nouvelles vulnérabilités ou les changements à apporter au système entre-temps.
De même par le passé, de nombreuses organisations ont choisi de transférer leur gestion des risques cybernétiques à une compagnie d’assurance. Cependant, le nombre et la complexité des cyberattaques ont fait se renchérir les primes, de sorte que les assureurs exigent toujours plus des organisations qu’elles atténuent proactivement les risques pour maintenir leur couverture. Investir dans une solide amélioration continue peut même permettre de réduire les coûts de la police d’assurance.
La surveillance des contrôles continus apporte une solution à ces deux problèmes. Elle permet aux organisations de suivre en temps réel les données requises pour évaluer le risque cybernétique, y compris celles obtenues auprès de fournisseurs. Les plateformes et tableaux de bord dédiés aux renseignements sur les menaces peuvent faciliter une approche continue et proactive de la surveillance.
Amélioration continue collaborative en temps réel
Adopter une approche collaborative englobant les fournisseurs et les spécialistes peut faire faire de grands progrès à une organisation dans l’élaboration d’une gestion des risques plus intelligente et dans la mise en place d’une gestion appropriée de l’information pour la cybersécurité.
De nombreux accords contractuels exigent la certification de conformité aux normes de systèmes de management internationales, à l’instar d’ISO 27001 et prévoient le droit d’auditer et d’évaluer la sécurité informatique. Le National Institute of Standards and Technology (NIST) Cybersecurity Framework est une norme internationale qui prend de l’ampleur en tenant compte du besoin de se pencher sur les contrôles des fournisseurs. Cela procure un avantage aux deux parties, les acheteurs aidant les fournisseurs à se former et à se perfectionner, ce qui améliore la compétence et la résilience de toute la chaîne. Le passage à la gestion numérique et au modèle de surveillance continue pourrait également réduire les coûts et les interruptions dus aux inspections en personne superflues durant l’audit de la chaîne logistique.
Lorsque des décisions portent sur les fournisseurs, le développement de nouveaux produits et la croissance sur de nouveaux territoires, il convient d’englober la cybersécurité dans la discussion. La gestion des risques cybernétiques doit faire partie d’une solide stratégie d’amélioration continue, et pas être un simple point de contrôle à satisfaire uniquement au démarrage.
Conclusion
À mesure que l’industrie se numérise, l’amélioration continue en temps réel et intelligente est toujours plus indispensable pour faire face tant aux risques traditionnels qu’aux menaces cybernétiques. Tout cela souligne la nécessité d’intégrer la résilience cybernétique dans les programmes d’amélioration continue face au risque numérique d’une manière adaptée à l’entreprise, en traitant les menaces dont vous êtes conscients et en tenant compte de celles que vous ne connaissez pas. La surveillance continue et collaborative des données opérationnelles ainsi que de la sécurité de l’information, des vulnérabilités et des menaces permet de mieux atténuer les risques pour une meilleure efficacité et une prise de décisions plus éclairée.
Rapport sur la gestion du risque à travers un nouveau prisme
Lisez notre rapport sur la gestion du risque pour en savoir plus sur la façon dont les équipes LRQA chargées de l’amélioration continue, de l’inspection, de la certification et de l’information dans un environnement numérique peuvent vous aider à préparer l’avenir de votre entreprise.
Rapport sur la gestion du risque à travers un nouveau prisme