• Eric Rae, Author |
4 min read

De nombreuses organisations versées en cybersécurité connaissent bien les rapports de certification des contrôles au niveau du système ou de l'organisation (SOC). Ces rapports montrent à votre organisation et à vos clients que vous avez adopté des pratiques rigoureuses en matière de sécurité et de contrôle interne. Comme le précise mon collègue Jeff Thomas, il existe différents types de rapports SOC, lesquels sont supervisés par l'American Institute of Certified Public Accountants (AICPA).

Or, saviez-vous qu'il existe un nouveau rapport SOC? Jusqu'à maintenant, les rapports SOC touchaient principalement les sociétés de services, et négligeaient les sociétés de développement, de fabrication et de distribution de produits. Ainsi, aux rapports SOC couramment utilisés pour les sociétés de services, s'ajoute maintenant le rapport SOC de certification de la chaîne d'approvisionnement, lequel est spécifiquement adapté à la gestion de la chaîne d'approvisionnement.

Nombreux sont ceux qui croient que la facilité et la rapidité d'utilisation des données – dans tout ce qui touche la création, la compilation, le transfert, la compréhension, l'analyse et la réaction – définissent l'efficience et l'efficacité de la chaîne d'approvisionnement moderne. Or, en l'absence de données exactes et à jour, la gestion de la chaîne d'approvisionnement se trouve freinée. Sans surprise, vu leur intégration latérale accrue, les chaînes d'approvisionnement se sont complexifiées considérablement au fil des ans, ce qui les rend plus que jamais vulnérables aux cyberrisques.

À l'instar de nombreux chefs de file de la chaîne d'approvisionnement dans le secteur, je suis convaincu que la cybersécurité constitue la principale menace à la croissance d'une organisation. On se souvient tous d'exemples d'attaques par rançongiciel, de violations de fournisseurs en amont ou de divulgation non autorisée de propriété intellectuelle. Ces attaques sont tout aussi paralysantes les unes que les autres, qu'elles ciblent votre organisation ou un tiers de confiance.

L'interruption d'une chaîne d'approvisionnement peut entraîner divers problèmes : perte de revenus, atteinte à la réputation, litige, etc. De plus, chaque nouvelle organisation qui se joint à l'écosystème augmente le risque que l'ensemble de la chaîne d'approvisionnement ne soit pas en mesure de respecter ses obligations.

Aussi, les modèles actuels de certification des entreprises de fabrication ne tiennent généralement pas compte de ces risques. D'où l'utilité du rapport SOC pour la chaîne d'approvisionnement. Ce rapport SOC peut être utilisé pour : a) aider les partenaires occupant une position dominante (ou le noyau) à accroître la maturité globale des contrôles de la chaîne d'approvisionnement, b) aider une organisation externe souhaitant démontrer que son introduction dans l'écosystème ne créera pas de risque indu, ou c) aider à prouver que la chaîne d'approvisionnement de l'organisation peut respecter ses engagements.

Autre fait qu'ignorent les intervenants dans les cycles de production, de fabrication et de distribution : le rapport SOC pour la chaîne d'approvisionnement ne se contente pas de décrire les procédures et les systèmes internes liés à la production, à la fabrication ou à la distribution d'un produit. Il peut également fournir des précisions sur la conception et l'exploitation des contrôles internes pertinents en regard des cinq piliers de la confiance.

Voici en quoi ces cinq piliers forment un puissant outil de communication pour expliquer les efforts déployés par votre organisation pour gérer les risques liés à la chaîne d'approvisionnement et l'efficacité des contrôles internes.

  1. Sécurité : Il s'agit des contrôles de sécurité fondamentaux de la chaîne d'approvisionnement pour se protéger contre les perturbations, les dommages, l'accès non autorisé et/ou la divulgation non autorisée de renseignements.
  2. Disponibilité : On parle ici de la capacité de la chaîne d'approvisionnement à mener les opérations nécessaires pour s'acquitter de ses obligations, les plus courantes étant de produire des quantités précises de produits et de les mettre à la disposition des clients dans un délai donné. Cela comprend les composantes nécessaires au déroulement des opérations, telles que les matières premières, les données, les environnements d'exploitation et les ressources qualifiées.
  3. Confidentialité : Il s'agit des contrôles en place pour protéger les renseignements confidentiels utilisés par la chaîne d'approvisionnement, comme la propriété intellectuelle de l'organisation ou de ses partenaires commerciaux.
  4. Vie privée : Il s'agit des contrôles en place pour appliquer correctement les Principes généralement reconnus de protection des renseignements personnels (PPRP) aux renseignements personnels utilisés par la chaîne d'approvisionnement.
  5. Intégrité du traitement : Il s'agit des contrôles qui atténuent le risque de non-atteinte des objectifs de la chaîne d'approvisionnement en raison de défaillances du processus de production. Voyez cela comme la capacité de la chaîne d'approvisionnement à produire des produits dont on peut raisonnablement s'attendre à ce qu'ils respectent les spécifications.

Voici ce que j'ai constaté. Que ce soit dans le domaine pharmaceutique, des logiciels, de la robotique ou de la logistique, les chefs de file de la chaîne d'approvisionnement croient qu'une approche moderne fondée sur l'Internet pour les opérations de la chaîne d'approvisionnement et le partage de données est l'initiative la plus essentielle à la reprise après la pandémie. Or, l'exécution de ce changement de paradigme n'est pas sans risque. La bonne nouvelle, c'est qu'un rapport SOC de certification de la chaîne d'approvisionnement peut renforcer vos contrôles internes et accroître la confiance de vos partenaires dans votre capacité à respecter vos obligations.

Multilingual post

This post is also available in the following languages

Stay up to date with what matters to you

Gain access to personalized content based on your interests by signing up today