Publicité en cours de chargement...

Publicité en cours de chargement...

Le risque de supply chain devrait sérieusement vous inquiéter

16 déc. 2024 - 23:21,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Quel est le point commun entre Rinson Jose, Nicholas Howley et A. B. ? À moins d’être totalement accro aux actus, peu de chances que vous connaissiez les trois à la fois.

Rinson Jose est le fondateur de Norta Global, société qui a semble-t-il vendu et/ou servi de couverture pour l’écoulement des bipeurs au Hezbollah. Le 27 septembre dernier, un avis de recherche international a été émis pour retrouver le bonhomme qui a disparu après les explosions des fameux bipeurs et, à cette date, selon les hypothèses, il était soit très riche et bien caché, soit très mort.

Nicholas Howley est le cofondateur de TransDigm, une entreprise opérant dans le secteur de l’aéronautique et dont le business plan est en fait assez simple : racheter les brevets de composants d’avions civils ou militaires qui sont en situation de quasi-monopole (un avion contient une foultitude de composants, dont les cycles d’approbation sont très longs, cinq ans ou parfois plus, et pour lesquels il n’existe qu’un seul fournisseur au monde). Une fois en possession du brevet, il multiplie tout simplement le prix par cinq, dix ou plus. Les clients n’ont absolument aucune alternative à part se faire tondre et dire merci. Il procède de la sorte depuis quasiment 30 ans, et aucune mise en examen, aucun procès ni audition au Sénat US (rien que cela) n’a pu aboutir pour une raison simple : c’est tout à fait légal.

A. B. (initiales, du fait de la présomption d’innocence) est une trésorière d’un grand groupe français actuellement sous les verrous en préventive pour être soupçonnée d’avoir détourné une bonne partie de la trésorerie du groupe, 100 millions d’euros tout de même. Précision utile : elle n’était pas employée du groupe mais, titulaire d’un contrat de sous-traitance entre le groupe et sa propre société, elle agissait en tant que « trésorière externalisée ». Autre précision utile : elle avait déjà été condamnée pour détournement de fonds dans une affaire similaire, mais n’étant pas « recrutée » par le groupe elle avait dû échapper aux vérifications habituelles réalisées sur ces postes à risque lors du recrutement.

Dans les trois cas, on a affaire à des variantes du risque fournisseur, appelées en cyber le risque de « supply chain », généralement associé au prestataire qui s’est fait chiper son compte VPN de télémaintenance, mais rarement à des formes plus sophistiquées telles qu’exposées ci-dessus. Dans le premier cas, on est en présence d’une atteinte à la prestation fournie (corruption de matériel, mais il peut aussi s’agir d’un service qui ne correspond pas au niveau contractuellement attendu), point identifié dans la 27001. Le deuxième relève d’une situation de monopole et de ses dérives, cas totalement absent de la 27001. Et le troisième concerne un dysfonctionnement de la prestataire, point également identifié dans la 27001, mais particulièrement complexe à contrer. À noter que le principe de séparation des pouvoirs mis en œuvre par la certification des comptes aurait été, semble-t-il, inefficace dans le troisième cas.

À force de blinder nos SI, nos procédures internes, nos comptes admin, nos EDR, nos SOC, nos PCA/PRA et j’en passe, il est une classe de risques peu, voire pas adressée, souvent à la frontière entre le SI et la cyber : le risque fournisseur. Quand un éditeur de SGBD en situation de quasi-monopole ou un éditeur de virtualisation multiplient leurs prix par trois et tondent leurs clients, il faudrait être légèrement aveugle pour ne pas voir le risque auquel est exposée toute l’organisation. Idem quand le fournisseur d’un gros ERP/DPI met la clé sous la porte ou vous plante au beau milieu du déploiement, estimant que le marché n’est pas assez rentable. Idem quand un adminsys d’un de vos prestataires pète un câble en revenant d’un stage de macramé au milieu du Larzac et vous flingue votre infra.

Le risque fournisseur prend des formes multiples et quelquefois inattendues (prenez 12 minutes 13 pour visionner l’histoire de TransDigm [1]), et il se pourrait bien qu’après s’être blindé contre les cryptos cette bataille soit la prochaine.



[1]  https://youtu.be/D9XfDtsmfDI?si=crFkwM_jVwBUo5Ma


 

16-12-2024.jpg

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Le Groupe Softway Medical accueille Bpifrance à son capital

Le Groupe Softway Medical accueille Bpifrance à son capital

30 juin 2025 - 21:20,

Communiqué

- Le Groupe Softway Medical

Le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Illustration Le Conseil d’Etat valide l’hébergement de l’« EMC2 » du Health Data Hub par Microsoft

Le Conseil d’Etat valide l’hébergement de l’« EMC2 » du Health Data Hub par Microsoft

16 déc. 2024 - 10:40,

Tribune

- Derriennic Associés, Alice Robert & Alexandre Fievée

Le Conseil d’Etat a récemment confirmé la possibilité pour le Health Data Hub d’héberger un entrepôt de données de santé par Microsoft Ireland Ltd (1)

Illustration Avis de l’Ademe sur le numérique et l’environnement

Avis de l’Ademe sur le numérique et l’environnement

14 jan. 2025 - 08:58,

Brève

- DSIH, Damien Dubois

Le 9 janvier 2025, l’Ademe a publié un avis intitulé Numérique et environnement : entre opportunités et nécessaire sobriété qui pointe les impacts positifs et négatifs du numérique sur l’environnement et les pistes d’actions pour un numérique plus sobre.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.