Simulacre de sécurité dans la supply chain?
Imaginez une entreprise où un navire avec 10 à 20 000 conteneurs entre dans un port toutes les 15 minutes et … pendant 10 jours, vous n’avez pas d’informatique … Science-fiction? Demandez au CEO de Maersk, le géant du shipping maritime, dont les systèmes de gestion ont été figés en 2017 par NotPetya, probablement un rançongiciel.
La liste est longue (Flame, Stuxnet, Wannacry) des cyberattaques qui ont compromis les systèmes informatiques d’organisations. L’ingéniosité et la créativité des cybercri-
minels seraient telles – les gains putatifs alléchants – que les activités malveillantes ne devraient pas faiblir à l’avenir. Bien au contraire.
Dépendances & Co.
Aujourd’hui, la dépendance aux TIC – ou technologies numériques – pour produire, transporter, commercer etc. n’est plus à démontrer. Les TIC sont omniprésentes. En matière de supply chain, elles permettent d’optimiser la gestion des achats, des stocks, des expéditions, etc. et de faciliter la relation avec fournisseurs et clients.
Cependant, des inquiétudes montent quant à notre dépendance stratégique à l’égard de fournisseurs de technologies (p. ex. 5G), de biens (masques, terres rares, composants pharmaceutiques, etc.), voire d’investissements étrangers. Cette dépendance serait particulièrement délicate pour les secteurs vitaux (comme énergie, santé, défense, communication) et certaines administrations publiques.
A cette «double dépendance» s’ajoute des risques et des menaces croissants pour la sécurité et l’intégrité de la supply chain. Selon un rapport de l’UNIDIR, des experts en sécurité font état d’une recrudescence de l’exploitation des chaînes d’approvisionnement technologique comme vecteur privilégié des cyberattaques et de l’espionnage technologique.
Ces experts signalent une augmentation des cyberactivités malveillantes visant les chaînes d’approvisionnement en logiciels (software supply chain). Beaucoup mentionnent même que le concept de «Security by Design» (SbD) serait peu appliqué, le niveau de sécurité actuel insuffisant et, à certains égards critiques, qu’il se détériorerait.
Un rapport de l’Atlantic Council cite l’exemple de Trek Networks, une entreprise US qui construit des logiciels permettant aux objets connectés (IoT) de communiquer sur internet. En 2020, elle a été informée de 19 vulnérabilités qui ont, par effet systémique, impacté les produits d’autres fabricants, comme Intel et Caterpillar, affectant potentiellement des centaines de millions d’appareils.
Finalement, le débat sur la 5G s’est largement concentré sur la fabrication et le déploiement de matériel informatique, alors que ce sont les logiciels de ces appareils qui déterminent la confidentialité des données et leur cheminement sur internet.
Au-delà des dépendances, objectivement cartographiées ou non, c’est de confiance dont il s’agit aussi, mais pas seulement.
Confiance, transparence et fiabilité
Avec la convergence graduelle des espaces cyber et physique – à ne pas confondre avec la digitalisation – les questions concernant la confiance, la transparence, la fiabilité et l’intégrité des données deviennent vitales.
A cet égard, trois technologies seraient à même d’apporter des réponses afin de sécuriser la supply chain:
- L’Intelligence Artificielle (IA). Covid-19 a mis en lumière les fragilités et faiblesses de la supply chain (ruptures de stock, délais de livraison, etc.). La pandémie aurait accéléré l’adoption de l’IA en son sein.
- La Blockchain. La nécessité de véri-fier la création, la transmission et la réception d’un échange de valeur est de plus en plus vitale. Pour assurer la sécurité de la supply chain, transparence et intégrité sont indispensables; ce que la Blockchain peut améliorer.
- L’informatique quantique. Des éminents experts pensent qu’elle pourrait théoriquement (grâce à une puissance de calcul inégalée) traiter un vaste flux de données. Donc, être utilisée pour par exemple optimiser la planification des itinéraires logistiques voire simuler le trafic en temps réel.
Quel que soit la réalité des bienfaits putatifs de ces technologies, c’est bien de sécurité, de souveraineté et de prospérité nationale dont il est surtout question.
Anticiper et agir
Il semblerait que nous nous dirigions inexorablement vers un monde «du tout numérique», ou presque. Un univers sans cesse plus complexe, technologique et intelligent, ou tout serait potentiellement piratable, trafiquable, manipulable; nos cerveaux y compris. Un univers où nous, sapiens, risquons d’être rapidement dépassés et d’irrémédiablement devenir le maillon faible.
Dépendances énergétiques, aux TIC, aux algorithmes et à certains fournisseurs et
investissements étrangers; arrivée de nou-veaux internautes online; accroissement de la masse de données; désinformation; crainte de cybersabotage; promesses des bienfaits des technologies … les enjeux sécuritaires (et les opportunités) sont dantesques.
Quelle est la probabilité d’un «Blackout»? Et si des intérêts contraires prenaient le contrôle? Quel serait le prix et les répercussions de l’inaction?
Afin d’y réfléchir et d’agir, voici quelques recommandations à destination des déci-
sionnaires des secteurs publics et privés:
- Accepter l’exponentialité du changement et de nos ignorances
- Adopter une approche de sécurité systémique 360˚ (physique et cyber)
- Cartographier dynamiquement la supply chain (dépendances, menaces, etc.) et en imaginer périodiquement les vulnérabilités
- Élever la fonction achat au niveau stratégique
- Renforcer l’immunité cognitive (individuelle et collective) au sein de l’organisation
- Insuffler une culture de Prosilience (anticipation, préparation, simulation, adaptation)
Mais prioritairement, renforcer les compétences de gestion de crises. Car demain matin, au-delà des enjeux liés à la convergence des espaces cyberphysiques, ce sera la juxtaposition des grandes tendances (migrations, crise climatique, perte de biodiversité, inégalités, etc.) les unes avec les autres et leur enchevêtrement avec des événements par nature imprévisibles, qui créeront les nouvelles turbulences, discontinuités et surprises stratégiques.
Aujourd’hui bien plus qu’hier: anticiper et agir maintenant pour progresser demain.
Christopher Cordey
L’ auteur est CEO de Futuratinow et membre du conseil de la fondation digiVolution, membre du board de Swissintell, membre de procure.ch (section Romandie) et co-auteur de «Heidi réveille-toi! La Suisse est-elle tombée dans les pièges du succès?».