Productivity
Strengthening the weakest link

Renforcez le maillon faible

La sécurité d’une entreprise dépend toujours de son maillon le plus faible. Or, bien souvent, ce talon d’Achille s’appelle « chaîne logistique », ou « supply chain » pour les intimes. Pour garantir protection et conformité d’un bout à l’autre de cette chaîne, il vous faut une sécurité intégrée à chaque étape. Stuart Constable se penche pour nous sur la question.

 

La supply chain repose sur un contrat de confiance.

Vous aurez beau prendre toutes les précautions et signer des contrats en béton armé, votre chaîne logistique ne sera solide que si elle repose sur le plus fondamental des contrats, celui de la confiance. Et plus la supply chain est complexe, plus la confiance est importante.

Il est fort probable qu’un fournisseur à un bout de la chaîne ne connaisse jamais tous les fournisseurs impliqués dans la conception, le développement, la fabrication, l’assemblage, la distribution, la livraison et la maintenance d’un produit ou d’une solution. Chaque relation repose donc sur la confiance entre les différentes parties au contrat, en partant du principe (et parfois de la preuve) selon lequel toutes les relations se fondent sur ce même socle.

La composante technologique de la chaîne logistique est soumise à un défi d’autant plus difficile qu’elle peut être attaquée facilement et de toutes parts. Ses éléments physiques (entrepôts, usines, véhicules, etc.) opèrent en toute autonomie. Ainsi, si un hangar est cambriolé ou vandalisé, la chaîne risque d’en être perturbée, mais ses autres maillons resteront opérationnels. À l’inverse, si l’infrastructure et les applications connectant les différents fournisseurs sont attaquées à quelque niveau que ce soit, c’est toute la supply chain qui peut s’en trouver paralysée. Un constat d’autant plus terrifiant que les attaquants n’ont même pas à bouger de leur chaise pour frapper.

Lorsque la chaîne doit assurer elle-même sa propre sécurité, la tâche devient encore plus complexe. Si vous fournissez à vos salariés les appareils dont ils ont besoin pour travailler où qu’ils soient, vous devez configurer ces équipements selon vos propres spécifications et normes de sécurité.

Tout terminal est un point d’entrée en puissance pour les malwares et autre types d’attaques ciblées. Le problème, c’est qu’il existe un marché parallèle florissant de composants de contrefaçon qui peuvent à tout moment s’immiscer dans la chaîne de fabrication. Ainsi, un appareil peut très bien avoir été assemblé dans les règles de l’art mais contenir des composants « voyous » susceptibles de compromettre sérieusement son intégrité et sa sécurité. Le temps de s’en rendre compte, il est souvent trop tard.

C’est pourquoi Lenovo a placé la démarche Transparent Supply Chain au cœur de sa relation client. Nous intégrons la sécurité à tous les niveaux d’élaboration de nos produits, à commencer par une traçabilité drastique des systèmes et composants. Chaque fournisseur de composants intelligents fait l’objet d’un contrôle draconien et doit disposer d’une habilitation de sécurité. Nos produits sont quant à eux conditionnés et expédiés dans des emballages sécurisés qui révèlent immédiatement toute tentative de manipulation ou d’altération le long du parcours.

La cybercriminalité se mue à une vitesse hallucinante. Alors que les objets connectés (IoT) servent désormais de porte d’entrée à des attaques DDoS potentiellement énormes, nul ne sait si la prochaine grande attaque par ransomware n’est pas sur le point d’être lancée. Dans ce climat pour le moins anxiogène, la sécurité des terminaux reste un problème de taille, à l’heure où de plus en plus d’utilisateurs choisissent de travailler tantôt sur leurs appareils personnels, tantôt sur leurs équipements professionnels.

En complément de la Transparent Supply Chain, notre système de gestion de la sécurité s’étend à l’ensemble du cycle de vie de nos produits : du développement au support client, en passant par toute la chaîne de fabrication. Nous veillons ainsi à traiter la sécurité comme partie intégrante de nos produits, et non comme une simple fonctionnalité ajoutée après-coup.

Pour ce faire, des principes de bonne gouvernance régissent tout le processus de développement de produits respectueux des règles de sécurité, surtout en matière de création et de distribution des BIOS et firmwares.

Tout au long des phases de développement et de test, le programme de hacking éthique de Lenovo souligne les problèmes potentiels pour mieux les corriger en amont. Nous investissons également dans des programmes de formation continue destinés à informer les salariés sur les problèmes de sécurité majeurs.

Les crimes et autres actes de malveillance n’ont de limites que celles de l’imagination. C’est pourquoi il faut développer des solutions de sécurité tout aussi inventives, basées principalement sur deux aspects infiniment humains : la confiance et la vulnérabilité. Fournisseur, mise à jour logicielle, utilisateur imprudent… chaque maillon de la chaîne doit être perçu comme une faille potentielle.

Nous avons fait de cette approche holistique un principe fondateur de notre stratégie de gestion de la production et de la chaîne logistique. En d’autres termes, la confiance que nous inspirons en tant que fournisseur repose sur des pratiques solides et éprouvées qui réduisent au maximum le risque pour nos clients, du bureau d’études jusqu’à l’utilisation de nos produits dans des lieux publics.