Publicité en cours de chargement...
Le risque de supply chain devrait sérieusement vous inquiéter
Écouter l'article
Rinson Jose est le fondateur de Norta Global, société qui a semble-t-il vendu et/ou servi de couverture pour l’écoulement des bipeurs au Hezbollah. Le 27 septembre dernier, un avis de recherche international a été émis pour retrouver le bonhomme qui a disparu après les explosions des fameux bipeurs et, à cette date, selon les hypothèses, il était soit très riche et bien caché, soit très mort.
Nicholas Howley est le cofondateur de TransDigm, une entreprise opérant dans le secteur de l’aéronautique et dont le business plan est en fait assez simple : racheter les brevets de composants d’avions civils ou militaires qui sont en situation de quasi-monopole (un avion contient une foultitude de composants, dont les cycles d’approbation sont très longs, cinq ans ou parfois plus, et pour lesquels il n’existe qu’un seul fournisseur au monde). Une fois en possession du brevet, il multiplie tout simplement le prix par cinq, dix ou plus. Les clients n’ont absolument aucune alternative à part se faire tondre et dire merci. Il procède de la sorte depuis quasiment 30 ans, et aucune mise en examen, aucun procès ni audition au Sénat US (rien que cela) n’a pu aboutir pour une raison simple : c’est tout à fait légal.
A. B. (initiales, du fait de la présomption d’innocence) est une trésorière d’un grand groupe français actuellement sous les verrous en préventive pour être soupçonnée d’avoir détourné une bonne partie de la trésorerie du groupe, 100 millions d’euros tout de même. Précision utile : elle n’était pas employée du groupe mais, titulaire d’un contrat de sous-traitance entre le groupe et sa propre société, elle agissait en tant que « trésorière externalisée ». Autre précision utile : elle avait déjà été condamnée pour détournement de fonds dans une affaire similaire, mais n’étant pas « recrutée » par le groupe elle avait dû échapper aux vérifications habituelles réalisées sur ces postes à risque lors du recrutement.
Dans les trois cas, on a affaire à des variantes du risque fournisseur, appelées en cyber le risque de « supply chain », généralement associé au prestataire qui s’est fait chiper son compte VPN de télémaintenance, mais rarement à des formes plus sophistiquées telles qu’exposées ci-dessus. Dans le premier cas, on est en présence d’une atteinte à la prestation fournie (corruption de matériel, mais il peut aussi s’agir d’un service qui ne correspond pas au niveau contractuellement attendu), point identifié dans la 27001. Le deuxième relève d’une situation de monopole et de ses dérives, cas totalement absent de la 27001. Et le troisième concerne un dysfonctionnement de la prestataire, point également identifié dans la 27001, mais particulièrement complexe à contrer. À noter que le principe de séparation des pouvoirs mis en œuvre par la certification des comptes aurait été, semble-t-il, inefficace dans le troisième cas.
À force de blinder nos SI, nos procédures internes, nos comptes admin, nos EDR, nos SOC, nos PCA/PRA et j’en passe, il est une classe de risques peu, voire pas adressée, souvent à la frontière entre le SI et la cyber : le risque fournisseur. Quand un éditeur de SGBD en situation de quasi-monopole ou un éditeur de virtualisation multiplient leurs prix par trois et tondent leurs clients, il faudrait être légèrement aveugle pour ne pas voir le risque auquel est exposée toute l’organisation. Idem quand le fournisseur d’un gros ERP/DPI met la clé sous la porte ou vous plante au beau milieu du déploiement, estimant que le marché n’est pas assez rentable. Idem quand un adminsys d’un de vos prestataires pète un câble en revenant d’un stage de macramé au milieu du Larzac et vous flingue votre infra.
Le risque fournisseur prend des formes multiples et quelquefois inattendues (prenez 12 minutes 13 pour visionner l’histoire de TransDigm [1]), et il se pourrait bien qu’après s’être blindé contre les cryptos cette bataille soit la prochaine.
[1] https://youtu.be/D9XfDtsmfDI?si=crFkwM_jVwBUo5Ma

Cédric Cartau
Avez-vous apprécié ce contenu ?
A lire également.

TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.
09 mai 2025 - 15:31,
Communiqué
- ANAPL’Anap publie un guide et un outil numérique d’aide à la décision pour permettre aux établissements de maîtriser la TVA, optimiser leurs flux et trouver facilement les dispositions applicables à leur situation.

Élargissement de la feuille de route pour la performance des achats et de la logistique
06 mai 2025 - 08:10,
Actualité
- Damien Dubois, DSIHLe 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.

L’impact organisationnel et financier d’un FICOM bien structuré
19 nov. 2024 - 08:49,
Communiqué
- Emmanuel BLOT, Manager Weliom.Dans un contexte de transformation numérique des établissements de santé, la structuration du Fichier Commun des Comptes (FICOM) s'avère indispensable. Cet article explore comment un FICOM bien structuré influence la gestion financière et organisationnelle, en mettant en lumière son rôle dans la com...

Doctolib va déployer la garantie de paiement des complémentaires santé
07 jan. 2025 - 10:01,
Communiqué
- DoctolibAlors que la gestion de la facturation de la part complémentaire continue de représenter une charge mentale pour de nombreux soignants confrontés à des rejets de paiement, Doctolib leur propose une nouvelle solution simple et efficace pour sécuriser leur pratique du tiers-payant intégral et stopper ...