Une enquête récente réalisée par Merrill Research et commandée par CyberSheath lève le voile sur les manquements en termes de cybersécurité des prestataires composant la supply chain du département de la défense. Seuls 11 % d’entre eux seraient en conformité.
La DIB, pour Defense Industrial Base, est le nom que porte la chaîne d’approvisionnement du département américain de la défense abrité par le Pentagone à Arlington. Dans un rapport publié récemment par CyberSheath, spécialisé dans la conformité, et Merrill Research, spécialisé dans les recherches personnalisées et multiméthodologiques, il ressort que près de 90 % de ses sous-traitants ne répondent pas aux normes de sécurité requises.
L’enquête a interrogé, depuis juillet 2022, 300 entrepreneurs de la US Defense Industrial Base. « Les conclusions du rapport montrent un danger clair et présent pour notre sécurité nationale. Nous entendons souvent parler des dangers des chaînes d’approvisionnement qui sont sensibles aux cyberattaques. Le DIB est la chaîne d’approvisionnement du Pentagone, et nous constatons à quel point les contractants sont mal préparés alors qu’ils sont dans la ligne de mire des acteurs de la menace« , explique Eric Noonan, CEO de CyberSheath. La NASA, le ministère de la Défense (DoD), le ministère de l’Énergie (DoE), le ministère des Anciens combattants (DVA), le ministère de la Sécurité intérieure (DHS) et le ministère de la Justice (DOJ) constituent les agences du DIB analysées dans le rapport.
11 % de prestataires conformes et 25 % avec des scores… négatifs !
La chaîne d’approvisionnement des départements en question a été évaluée à l’aide du Supplier Risk Performance System (SPRS), qui est le système unique et autorisé du DoD pour récupérer les informations relatives à la performance de sécurité des fournisseurs. Les contractants qui ne possèdent pas un score SPRS de 70 ou plus sont considérés comme non conformes aux critères du Defense Federal Acquisition Regulation Supplement (DFARS). Le DFARS est un ensemble de règles de cybersécurité que le DoD impose à ses contractants. Le DFARS, qui est en vigueur depuis 2017, exige un score de 110 pour être considéré comme pleinement conforme. Un score de 70 et plus est considéré comme « suffisant », mais la grande majorité des contractants ne parviennent même pas à atteindre ce niveau de conformité. Or 89 % des entrepreneurs ont un score SPRS inférieur à 70, ce qui signifie qu’ils ne respectent pas le minimum légal requis. Plus de 25 % de la chaîne d’approvisionnement ont obtenu des scores SPRS compris entre -170 et -120, tandis que seulement 11 % des entrepreneurs interrogés ont obtenu un score considéré comme conforme.
Un risque clair et présent pour la sécurité nationale américaine
Quelques exemples de vulnérabilités mis en évidence dans le rapport :
- Environ 80 % du DIB ne surveille pas ses systèmes 24/7/365 et n’utilise pas de services de surveillance de la sécurité dont le siège est aux États-Unis. Le recours à des services de cybersécurité étrangers présente un risque en soi.
- 80 % ne disposent pas d’un système de gestion des vulnérabilités.
- 79 % ne disposent pas d’un système d’authentification multifactorielle (MFA) robuste, et 73 % ne disposent pas d’une solution de détection et de réponse des endpoints (EDR).
- 70 % des organisations n’ont pas mis en place de système de gestion des informations et des événements de sécurité (SIEM).
