Building mike kononov unsplash

#blockchain #cybersécurité #hacking #Supply Chain #logistique #sécurité #confiance

Cybersécurité : la blockchain au service de la sécurisation de la supply chain

Publié le 08 oct. 2020
Building mike kononov unsplash

La blockchain et son système décentralisé s’avère un allié de choix en matière de cybersécurité, tant pour les professionnels de la supply chain que pour ceux de l’industrie, pour lutter contre les piratages informatiques susceptibles de perturber voire paralyser les approvisionnements. La crise a rappelé l’urgence de bénéficier d’une visibilité temps réel sur les flux logistiques. Or, encore faut-il mettre en place un système de mutualisation de données fiables et sécurisées. Le registre public est trop souvent encore boudé au profit d’un système privé, censé être plus sûr et garantir un meilleur contrôle sur l‘accessibilité de la data. Il est grand temps de rétablir la vérité.

Une supply chain de plus en plus vulnérable aux piratages informatiques

La disparition et le vol de biens (matières premières comme produits transformés) en particulier lors des points de ruptures supply chain (quai de chargement…) ne sont pas les seuls risques qui pèsent sur la chaîne d’approvisionnements, loin s’en faut.

Ainsi, la cybercriminalité a été déclarée dès 2015 le plus grand risque, tout secteur confondu par le Forum Economique Mondial. Or, ces cyberattaques deviennent de plus en plus pointues. Comme le révèle la dernière étude BlueVoyant, 82% des organisations ont subi une violation de données au cours des 12 derniers mois. De plus, seuls 22,5% des entreprises surveillent l’ensemble de leur chaîne d’approvisionnement.

Entre le ransomware de fichiers, les attaques DOS (déni de service), le phishing de mails et l’envoi de malwares, les pirates disposent de tout un arsenal aussi précis et nuisible qu’indolore. Car si la plupart des attaques sont rapidement identifiées et déjouées, un tiers des entreprises ignorent qu’elles sont attaquées. Des attaques qui peuvent entraîner une paralysie de la chaîne d’approvisionnement durant des semaines voire des mois. Citons ainsi l’armateur MAERSK victime du virus NoPetya ou encore le fabricant de lingerie Lise Charmel confronté à un ransomware, une attaque consistant à crypter les données de l’entreprise pour en interdire l’accès, le seul moyen d’en assurer leur bonne récupération étant le paiement d’une somme sonnante et trébuchante aux hackers.

Avec l’avènement d’une industrie 4.0 faisant la part belle aux technologies interconnectées, les points d’accès se multiplient, et autant de failles de sécurité exploitables par les pirates. A l’aube de la 5G, les IoTs pourraient bien devenir les nouveaux chevaux de troie des infrastructures supply chains. Les hackers ciblent souvent le matériel de base comme des routeurs, les caméras ou encore les thermostats. Un rapport de Symantec, signale qu’environ 90 % des cyberattaques sont dues à des appareils infectés connectés par l’Internet des objets. En outre, la banalisation du travail à distance transforme chaque salarié en télétravail en cible potentielle. Mais ce ne sont pas les seuls. Désormais, sous-traitants et autres prestataires externes sont directement visés. Or, BlueVoyant souligne que les sociétés supply chain possède plus de 1000 fournisseurs et que seules 32% des entreprises réévaluent et signalent le statut de leur fournisseur en matière de cybersécurité tous les six mois ou annuellement. Dès lors, la divulgation de secrets de fabrication ou de propriété intellectuelle tout comme le vol de données clients ou fournisseurs sont les plus à risques.

Dans le même temps, on assiste à une véritable inflation du volume de données dans le milieu supply chain. Une donnée qui reste encore trop souvent pas suffisamment structurée et, qui plus est, sujette aux erreurs humaines. Les circuits de validation sont, en effet, encore trop souvent menés manuellement, dans le feu de l’action sur le terrain.

Or, afin de pouvoir mutualiser les données, il faut certes que les transfers soient sécurisés, mais plus encore que ces mêmes données soient certifiées. Heureusement une technologie comme la blockchain peut répondre à des attaques persistantes et de plus en plus sophistiquées.

Répartition des risques et filtrage de l’accès à la donnée : la blockchain publique en pole position

La technologie blockchain est en fait un concentré d’innovation annexes mêlant gouvernance décentralisée, horodatage de la donnée , cryptographie (chiffrement des données qui permet de protéger tous messages). Cette cryptographie emporte trois concepts majeurs qui sont la confidentialité, l’intégrité et la confidentialité. L’ajout de blocs sécurisés par cryptographie, garantit leur inaltérabilité : les données peuvent ainsi être diffusées, mais pas copiées. Par ailleurs, deux systèmes de cryptographie sont actuellement utilisés : les algorithmes de chiffrements symétriques avec clé secrète et les algorithmes de chiffrements asymétriques avec clé privée et clé publique.

Vous qui nous lisez souvent, connaissez notre point de vue tranché quant au mirage de la blockchain privée. En effet dans ce cas de figure, la donnée est centralisée par un acteur unique qui s’avère seul décisionnaire des termes et conditions de stockage. Il peut donc jouir de son pouvoir discrétionnaire pour falsifier la donnée ou censurer certains éléments. Un arrangement avec la réalité susceptible de servir ses seuls intérêts individuels et de dissimuler toute sorte de collusion ou de conflit d’intérêt. Il n’y a donc pas de mécanisme consensus. Sans compter que de telles manoeuvres ne peuvent que tromper ses partenaires commerciaux.

Avec la blockchain publique ou ouverte en revanche, on assiste à un meilleur partage de l’information entre sous-traitants et donneurs d’ordre. Si l’information est plus transparente, elle n’en est pas moins protégée des regards indiscrets. Ainsi contrairement à ce que laisse à penser l’expression “ouverte” ou “publique” le professionnel reste le maître des accès aux informations et peut donc choisir qui pourra consulter librement les informations inscrites sur la blockchain. La pleine lecture de l’information suppose de détenir la clé privée de l’interlocuteur.

Deux différences majeures subsistent avec la blockchain privée. La première c’est que l’information est réparties sur plusieurs serveurs (les fameux noeuds de réseaux), il n’y a donc pas de point unique à la merci d’un piratage, ce qui renforce la sécurité du SI et complique l’action des hackers. En outre, le système exclusif de validation des blocs de données par des mineurs, rémunérés en cryptomonnaies sur une blockchain publique garantit l’intégrité de l’information présente sur le réseau. Toute tentative de falsification ou d’altération de la donnée est donc rapidement repérable. Sur la blockchain publique, chacun est donc à la fois garant et contrôleur de l’information inscrite et validée.

La blockchain permet ainsi de fluidifier les transferts de données sans courir le risque de divulger des données personnelles ou critiques. Un enjeu particulièrement pregnant en supply chain et plus encore pour l’industrie agro-alimentaire et pharmaceutique.

Préservation des données sur la blockchain et protection contre le hack d’IoT

Sécuriser le stockage de vos données via une blockchain publique permet de garantir la non-modification des données ainsi que leur non-compromission face à des virus, notamment des ransomwares qui cherchent à s’attaquer à vos sauvegardes et bases de données (clients, fournisseurs). La force d’une solution blockchain comme Ownest est qu’en cas d’attaque ou de destruction de la base de donnée d’un acteur supply chain, la preuve des transferts est conservée et reste consultable à tout moment. Les données clients et collaborateurs étant certifiées sur la blockchain, il est tout à fait possible de reconstruire les preuves des échanges certifiés. De plus, en cas d’altération partielle d’une base de donnée par un acteur malveillant (interne ou externe), la preuve disparait d’une base de données non supporté par la blockchain. Ownest a la possibilité de prouver l’intégrité des données présentes dans ses bases de données grâce à la vérification des informations déposées sur la blockchain à chaque étape du protocole de transfert de responsabilité.

Ensuite, la solution Ownest n’est pas assujettie à l’usage systématique d’IoT pour fonctionner, le système permet donc de réduire les surfaces d’attaque du système. Sans compter que s’il est possible de réduire les risques liés aux IoT en créant des botnets, Ces derniers peuvent constituer un moyen d’attaque susceptible de destabiliser un très grand nombre d’infrastructures dans la mesure où il reste très difficile à contrer du fait d’un très grand nombre d’adresses IP impliquées.

De plus en cas de modification malveillante des données d’un objet connecté (comme son emplacement GPS, ou bien même une puce RFID mimant un objet physique…), une validation des données est nécessaire par les opérateurs terrain. Ainsi, avec son transfert de responsabilité au moyen de la blockchain, Ownest permet de générer de la donnée certifiée en temps réel. Il facilite ainsi la traçabilité des actifs physiques mais aussi des informations. La blockchain permet en outre de vérifier l’intégrité des informations échangées par le réseau SI : chaque interraction avec l’information (date et auteur) est horodatée, la sauvegarde en temps réel s’en trouve facilitée, tandis que l’audit du registre est facilité.

Enfin Ownest s’appuie sur une pluralité de blockchains robustes qui présentent des niveaux de sécurité (en particulier en matière de réplications mondiales des ledgers) important.

Vous l’aurez compris, la blockchain offre une solution simple, abordable et efficace pour tout professionnel de la supply chain ou industriel désireux de protéger ses marchandises et ses données tout en certifiant ses mêmes données. La blockchain publique offre une meilleure répartition des risques que ne le permet une blockchain privée, tandis que la solution Ownest garantit la non-compromission de vos données (clients et fournisseurs) et matériels IoT. Le réflexe sécurité face à des piratages informatiques toujours plus nombreux en territoire supply chain.