Que se passe‑t‑il lorsque la chaîne d’approvisionnement mondiale se brise? | WeLiveSecurity

Que se passe‑t‑il lorsque la chaîne d’approvisionnement mondiale se brise?

Si nous ne pouvons pas sécuriser la chaîne d'approvisionnement, tout le reste finira par s’écrouler.

Si nous ne pouvons pas sécuriser la chaîne d’approvisionnement, tout le reste finira par s’écrouler.

Les événements récents ont illustré la nécessité de plans de continuité solides et, bien que ces événements soient encore en cours, ils mettent également en lumière la nécessité d’une planification solide de la chaîne d’approvisionnement. Un examen du subreddit r/sysadmin sur Reddit révèle les commentaires des administrateurs de systèmes selon lesquels leurs commandes d’ordinateurs portables, de serveurs, de matériel de réseau sont retardées d’au moins un à deux mois… jusqu’à présent. Et ce, pour les grandes entreprises, dont les contrats d’achat s’étendent généralement sur plusieurs trimestres. Les plus petites entreprises peuvent avoir encore plus de mal à se procurer des ordinateurs.

Lorsque les livraisons de nouveaux PC stagnent, par exemple, cela crée une chaîne d’événements qui s’amplifie d’elle-même et qui a de plus en plus d’impact sur toute une série de problèmes commerciaux, comme le fait que les nouvelles recrues puissent commencer à travailler et les mises à niveau pour les employés sur du matériel plus ancien. Certaines entreprises peuvent amortir ce choc en reconvertissant et en remettant en service le vieux matériel, ou en continuant à utiliser du matériel vieillissant. Mais la capacité à entretenir ces derniers est limitée par les pièces de rechange et de remise à neuf disponibles pour les faire fonctionner.

Certains fournisseurs qui fabriquent des composants tels que les blocs d’alimentation (ou les disques durs ou la mémoire vive) s’appuient sur une fabrication centralisée dans des usines à haute densité situées à proximité les unes des autres dans quelques régions du monde. D’un point de vue économique, cela a beaucoup de sens. Du point de vue du retour sur investissement, le regroupement d’usines permet de compenser les coûts d’exploitation élevés et de réduire les coûts de production finale à un niveau abordable sur un marché mondial en plaçant les installations suffisamment proches les unes des autres, ce qui permet de réaliser des économies d’échelle au niveau de la construction, du personnel et de l’exploitation.

Si une usine de fabrication est paralysée en raison de problèmes d’approvisionnement, l’effet d’entraînement peut s’emballer, ce qui augmente le coût des pièces utilisées dans la technologie à travers le monde. Un exemple concret de cette situation : une seule coupure de courant n’ayant duré qu’une minute dans une usine de puces mémoire de Samsung Electronics, l’usine a mis deux à trois jours pour reprendre ses activités normales et a coûté à l’entreprise environ 25 millions de dollars US.

Un concept qui prend forme est la restriction des densités de fabrication dans des lieux uniques. Visant les composants et sous-systèmes critiques, cette mesure devrait contribuer à favoriser un paysage manufacturier diversifié à l’échelle mondiale. Ainsi, s’il existe des problèmes régionaux, une résilience mondiale permet aux entreprises de poursuivre leurs activités.

Nous le savons grâce à la planification des interventions en cas de catastrophe (ou DR, de l’anglais disaster response), une pratique que de nombreuses entreprises sont tenues de mettre en place, en particulier si elles opèrent dans des secteurs critiques. Nous savons déjà comment procéder, mais les plans de continuité des activités reposent généralement sur la mise en place d’installations hors site, voire hors région, à partir desquelles les activités commerciales peuvent reprendre. Lorsque la zone touchée est le monde entier, même la continuité des opérations commerciales la mieux pratiquée peut présenter quelques défauts.

Dans l’intervalle, que peuvent faire les organisations pour continuer à fonctionner avec un minimum de perturbations pour l’entreprise? Pour beaucoup d’entre elles, cela signifie mettre en œuvre des plans de travail à domicile. Si vos employés sont déjà équipés d’ordinateurs portables et utilisent un réseau privé virtuel (VPN) pour se reconnecter aux serveurs de l’entreprise, vous avez déjà effectué la majeure partie du travail. Pour plus d’informations sur les VPN, nous vous invitons à consulter notre article sur la mise en place d’un VPN. Cependant, il ne suffit pas d’avoir un VPN pour se reconnecter aux serveurs d’un bureau si la connexion VPN est compromise. L’année dernière, les vulnérabilités de deux produits VPN pour entreprises ont exposé environ un demi-million de serveurs à des attaques. La sécurisation des connexions d’entreprise par une authentification multifactorielle (MFA) peut empêcher un attaquant de pénétrer sur votre réseau, y compris par une connexion VPN. Pour plus d’informations, consultez notre article sur l’amélioration de votre sécurité grâce à l’AMF.

Si vous êtes responsable de la mise en œuvre de la politique de télétravail de votre organisation, vous risquez de vous retrouver à la limite de vos possibilités pour fournir des ordinateurs portables à tous vos employés. Dans certains cas, vous devrez peut-être configurer les ordinateurs de bureau de vos employés pour qu’ils utilisent un VPN et les autoriser à les emporter chez eux. Si vous disposez d’un inventaire de systèmes anciens ou de rechange, il peut être nécessaire de les mettre en service. Vous devrez peut-être même en cannibaliser certains pour obtenir des pièces afin de mettre les systèmes restants en état de marche.

Pour les serveurs, cela peut être un peu plus difficile : Alors que le personnel informatique conserve généralement un petit nombre de pièces critiques, il s’agit généralement d’une solution provisoire destinée à maintenir un serveur disponible jusqu’à ce qu’un fournisseur puisse livrer des pièces de rechange. La disponibilité des pièces de rechange étant une question ouverte, les serveurs non critiques peuvent devoir être cannibalisés pour maintenir en fonctionnement ceux qui sont plus critiques pour l’entreprise. Dans certains cas, la détermination peut être évidente : il se peut que vous ayez besoin de plus de serveurs Terminal Services que de serveurs d’impression pour les prochaines semaines. Si vous aviez l’intention de mettre hors service des serveurs et des services, ces plans pourraient être mis en attente dans un avenir immédiat ou, à l’inverse, accélérés s’ils sont nécessaires pour fournir des services à des employés distants.

Peut-être autorisez-vous les employés à se connecter à l’aide d’une solution BYOD et du protocole RDP (Remote Desktop Protocol). Si c’est le cas, veuillez consulter la section Il est temps de déconnecter le RDP de l’internet ici sur WeLiveSecurity. Au fait, si vous êtes préoccupé par la vulnérabilité SMBv3 récemment découverte, ESET la détecte sous le nom de SMB/Exploit.CVE-2020-0796 par notre module Network Attack Protection. Ce module, une extension de la technologie de pare-feu d’ESET, est présente dans nos solutions ESET Internet Security et ESET Smart Security Premium pour les consommateurs, et les solutions de protection des terminaux ESET pour les entreprises.

Même si la plus grande partie de votre infrastructure de serveurs est dans le nuage, votre fournisseur de services dans le nuage peut avoir du mal à vous fournir un accès en raison de l’utilisation accrue par tous ses clients. Un exemple de cela est la panne de Microsoft Team du 16 mars qui a laissé certains utilisateurs sans possibilité de collaboration. Cela ne veut pas dire que Microsoft est en faute; le nombre d’utilisateurs se connectant au travail à domicile a probablement dépassé leurs estimations de capacité les plus folles, et Microsoft a fourni d’excellents conseils, tels que ce Guide d’optimisation d’Office 365 pour le personnel à distance. Si vous utilisez G-Suite, Google a fourni des conseils sur le télétravail.

Si vous êtes impliqué dans la configuration, la modification ou la reconversion d’ordinateurs, plusieurs fabricants ont publié des conseils prescriptifs pour la désinfection biologique de leurs appareils :

ManufacturerWeb page
AppleHow to clean your Apple products
DellGuidance for Keeping Your Dell Technologies Equipment Clean
Hewlett-PackardHewlett-Packard PCs – Cleaning and Disinfecting Your Computer
LenovoKeeping your computer clean – Notebooks, All-In-One Desktops, Tiny-In-One, and Monitors
SamsungGalaxy Sanitizing Service

Enfin, si vous utilisez des lingettes désinfectantes, veillez à lire les petits caractères sur l’emballage. Je regardais l’emballage d’une marque, qui disait aux gens de « se laver soigneusement à l’eau et au savon après manipulation » en raison des « dangers pour les humains et les animaux domestiques ».

Je remercie tout particulièrement mes collègues Petr Blažek, Bruce P. Burrell, Cameron Camp, Nick FitzGerald, Ondrej Kubovič et Nicolás Raggi pour leur aide dans la rédaction de cet article.

Infolettre

Discussion