La manière dont les logiciels et les réseaux sont codés est importante ; une fiche d'évaluation peut aider
Mai 2021
À mesure que les entreprises utilisent de plus en plus de services numériques, elles peuvent être exposées à des cyberattaques si les fournisseurs utilisés ne sont pas correctement contrôlés. Les acteurs malveillants sont sournois, parfois persistants et peuvent se déplacer sur les réseaux sans être détectés – SolarWinds peut en témoigner.
Si un service numérique se connecte au réseau d'une entreprise, des acteurs malveillants peuvent l'utiliser comme porte dérobée pour accéder à l'ensemble du système. C'est pourquoi il est important de vérifier les fournisseurs de services pour s'assurer qu'ils disposent d'un processus de chaîne d'approvisionnement solide, y compris les entreprises avec lesquelles ils font affaire.
L'année dernière, Eric Neely, coordinateur des communications de Hoosier Energy, et Chris Johnson, producteur vidéo, ont cherché une solution pour gérer le contenu numérique du département, notamment les éléments de marque et d'image. Sachant qu'ils souhaitaient utiliser un logiciel basé sur le cloud, connu sous le nom de Software as a Service (SaaS), ils ont trouvé des fournisseurs dont le logiciel fonctionne via n'importe quel navigateur Web.
« Nous voulions que le système sélectionné nous aide non seulement à travailler plus intelligemment et plus rapidement en équipe, mais aussi qu'il ne présente pas de risque de sécurité pour l'entreprise », a déclaré Neely.
Pour savoir quelles sont les exigences requises pour un nouveau logiciel, Neely a contacté Richie Field, responsable de la cybersécurité et du réseau chez Hoosier Energy. Il a appris qu'il existe un tableau de bord de cybersécurité qui permet d'identifier les plateformes sécurisées.
« Cela permet d’identifier la probabilité d’un problème et son impact afin que le niveau de risque puisse être déterminé », a déclaré Field.
Il s'agit d'un outil qui aide la coopérative à sélectionner des fournisseurs qui font preuve de diligence raisonnable lors de la construction de leurs systèmes. En fonction des réponses fournies, il est possible de déterminer quels fournisseurs accordent une attention particulière à la sécurité lors de la construction de leur réseau.
La fiche d'évaluation fait partie d'une approche à deux volets mise en place chez Hoosier Energy. La langue du contrat est l'un des aspects sur lesquels les fournisseurs sont évalués. Cela garantit que la coopérative est contactée lorsqu'un fournisseur a une violation et établit comment la réponse sera coordonnée.
Le deuxième volet consiste en une évaluation visant à s'assurer que le matériel et les logiciels utilisés ont été correctement contrôlés. C'est ainsi que les fournisseurs de systèmes SaaS seront examinés et approuvés.
« Lorsque j’ai contacté des fournisseurs pour leur demander de remplir la fiche d’évaluation, certains m’ont dit qu’ils n’étaient plus intéressés par notre activité. C’est à ce moment-là que j’ai compris la force de cette analyse », a déclaré Neely.
Cette évaluation, composée de 280 questions maximum, analyse la manière dont le logiciel est construit, ainsi que la manière dont le matériel, le micrologiciel et le codage open source sont créés et authentifiés.
« Grâce à ce processus, nous avons pu trouver un système qui est plus qu’une situation gagnant-gagnant, c’est une situation gagnant-gagnant », a déclaré Neely.