Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

E&U … et ces risques venus de l’extérieur

Juil 13, 2023 | Cyber Security | 0 commentaires

La gestion de risques de tiers est de plus en plus cruciale pour éviter des situations de crise dans les secteurs E&U. NTT DATA fait le point à travers un livre blanc.

Une digitalisation rapide, sans doute trop. Les secteurs E&U (Energy & Utilities) ont connu des avancées technologiques importantes qui ont permis d’améliorer la production, de réduire les coûts et de répondre aux nouveau besoins des consommateurs. On parle ici de réseaux intelligents, de sources d’énergie renouvelables, de jumeaux numériques, d’Internet industriel des objets (IIoT), etc. En même temps, l’adoption de ces technologies a son revers : les secteurs E&U sont devenus bien plus dépendants de leurs fournisseurs de technologie qu’auparavant. Ils sont dès lors davantage exposés à des risques provenant de leurs partenaires externes.

L’interconnectivité et l’interdépendance croissantes des systèmes, tant au sein de l’entreprise qu’à l’extérieur, augmentent les risques de violations de données, de cyberattaques et de défaillances technologiques. Sans oublier les risques géopolitiques lorsque les fournisseurs sont établis dans des régions critiques. Et les risques financiers lorsque les fournisseurs sont eux-mêmes en difficulté financière où ne sont pas en mesure d’assurer les services et livraisons prévus.

E&U … plus de régulation en matière de gestion des risques

Les exigences réglementaires et les normes de conformité évoluent en permanence (exigences renforcées en matière de cybersécurité et de sécurité de la chaîne d’approvisionnement, réglementations environnementales plus strictes…). En conséquence, les organisations doivent s’assurer que leurs partenaires externes respectent les réglementations en vigueur, faute de quoi elles s’exposent à des amendes, à une atteinte à leur réputation, voire à des arrêts de production ou d’activité.

Ainsi, la directive européenne NIS2 (Network and Information Security, adoptée en janvier 2023 et à intégrer en droit national avant octobre 2024), obligera des milliers d’entreprises de services « essentiels » – notamment dans les secteurs E&U – à renforcer leurs normes en matière de sécurité informatique. Signalement des incidents de sécurité, gestion des risques cyber, tests et audits de sécurité, sécurité de la supply chain, autant de points d’attention à ne pas négliger sous peine d’astreintes ou d’amende jusqu’à 10 millions EUR (ou 2% du chiffre d’affaires mondial si ce montant est plus élevé).

Se donner les moyens de gérer les risques

Pour s’assurer que leurs fournisseurs, sous-traitants et autres partenaires respectent leurs normes de sécurité, de conformité, de durabilité, de stabilité financière, etc., les organisations s’appuient souvent sur des feuilles de calcul. Une approche qui consomme beaucoup de temps (car elle implique la collecte, l’analyse et la mise à jour de grandes quantités de données provenant de diverses sources), qui est sujette à des d’erreurs humaines d’encodage ou de formules, et qui offre des capacités limitées en matière de surveillance, d’analyse et de reporting en temps réel, ce qui complique l’identification des risques et des tendances émergentes.

La difficulté d’accès à l’information peut aussi entrainer une communication inefficace entre les services concernés (logistique, juridique, risques et compliance, financier…). De plus, les secteurs de l’E&U sont confrontés à une pénurie de personnel qualifié en matière de gestion des risques pouvant entraver leur capacité à identifier, évaluer et réduire les risques. ​

Surveillance en temps réel, un aspect essentiel d’une gestion efficace des risques liés aux tiers

« Aujourd’hui, les entreprises peuvent s’appuyer sur des solutions de surveillance en temps réel qui utilisent l’automatisation et l’apprentissage automatique pour surveiller en permanence le niveau de risque de leurs fournisseurs et partenaires, explique Michiel Donders, Director Energy & Utilities chez NTT DATA Netherlands. Notre plateforme 3rdRisk, repose sur une méthodologie d’évaluation des risques de tiers conçue spécifiquement pour les secteurs E&U. Un système d’alertes en temps réel avertit les responsables de la gestion des risques dès qu’un risque potentiel est détecté. Elle permet aussi d’accéder à de précieuses données fournies par nos fournisseurs de contenu -dont BitSight, SecurityScorecard, Altares – Dun & Bradstreet, EcoVadis et Refinitiv. »

En traitant les vulnérabilités de manière proactive, les entreprises du secteur E&U peuvent renforcer la résilience de leurs opérations et assurer la continuité des services essentiels, même en cas de perturbations. Non seulement elles se prémunissent de coûteuses ruptures d’activité ou de crises de réputation, mais elles peuvent identifier et traiter les faiblesses de leur chaîne d’approvisionnement et améliorer leurs performances opérationnelles. Elles gagnent ainsi en compétitivité.

« La réputation d’une organisation est fortement influencée par les actions et les performances de ses partenaires tiers. En gérant efficacement les risques liés aux tiers, les organisations peuvent s’assurer que leurs partenaires respectent des normes élevées en matière de cybersécurité, d’environnement et de responsabilité sociétale. Investir dans des outils performants peut les aider à établir et à maintenir la confiance avec leurs parties prenantes », ajoute Michiel Donders.