Bien savoir gérer les risques liés aux tiers

Share this post:

L’actualité récente regorge d’exemples de failles de sécurité exploitées par des cybercriminels pour atteindre des entreprises tierces. Avec l’interconnexion croissante des systèmes d’information entre partenaires commerciaux, fournisseurs, sous-traitants, prestataires, clients, etc…, une faille chez un partenaire représente un risque pour votre entreprise. Les règlements en la matière, notamment le RGPD et la loi sapin 2 se faisant de plus en plus stricts, ce risque devient légal et financier en plus de technologique.

Savoir gérer ses tiers, et les risques qu’ils font potentiellement peser sur son entreprise, est essentiel pour garantir sa sécurité.

L’augmentation des données partagées

L’augmentation des risques cyber liés aux tiers, tels que la fuite de données, l’indisponibilité des services suite à une attaque par ransomware ou l’espionnage industriel, est en augmentation depuis des années.

L’externalisation de plus en plus importante des services de l’entreprise provoque des interconnexions plus fortes des systèmes d’information (SI) entre fournisseurs et clients. Ainsi, le nombre de données partagées, dont certaines sont particulièrement sensibles, augmente et devient difficile à contrôler.

Se protéger des attaques par rebond

Si les entreprises ont appris au fil des années à protéger leur SI, qu’en est-il des tiers ? « Passer par la porte est désormais plus compliqué », déclarait en 2019 Guillaume Poupard, directeur général de l’ANSSI¹. « Les attaquants passent maintenant par les fenêtres. Et il y a beaucoup de fenêtres. »

Les « attaques par rebond » se multiplient. En effet, au lieu de viser directement votre SI, les pirates pénètrent celui de vos sous-traitants qui est bien moins protégé. Ils utilisent les portes que vous leur avez ouvertes pour atteindre votre organisation. Selon une étude² conduite en juin 2020, 80% des entreprises interrogées ont été victime dans les 12 derniers mois, d’une fuite de données mettant en cause un de leurs sous-traitants.

Des entreprises toujours mal protégées

Aujourd’hui, les directions générales sont plus sensibles aux risques que font peser les tiers technologiques. Ils peuvent entraîner des perturbations sur l’ensemble des services. Par ailleurs, les réglementations drastiques, du type RGPD ou Loi Sapin 2, et les amandes qu’elles induisent, créent un risque financier important pour les entreprises.

Pour autant, selon le Ponemon Institute, seul un RSSI³ sur deux estime que la gestion de ces derniers risques est efficacement prise en compte dans les entreprises. Enfin, les partenariats avec des tiers se multiplient sans concertation, et sans avoir vérifié que les aspects sécuritaires aient bien été évalués.

Connaître ses fournisseurs

La décision première est de donner à l’équipe sécurité une vision exhaustive de l’ensemble des tiers auxquels l’entreprise fait appel. Ainsi, pour chacun d’eux, elle sera en mesure de contrôler le niveau d’accès autorisé au système d’information et aux données.

Il est également possible de classifier ces tiers en fonction du risque sécurité qu’ils font peser sur l’entreprise. Prenons pour exemple un client à qui l’on accorde uniquement des droits d’accès à la consultation du stock. Le risque généré pour l’organisation sera beaucoup plus faible qu’une entreprise de maintenance informatique ayant des autorisations d’accès à des serveurs critiques.

Suivre l’évolution du risque tout au long de la relation

Généralement, les entreprises concentrent leurs efforts sur la phase initiale de contractualisation. Une check-list permet d’évaluer le niveau de sécurité mis en place par le tiers afin de mesurer le risque inhérent pour l’entreprise. S’il est jugé acceptable, le projet peut être contractualisé.

Toutefois, ce risque peut évoluer dans le temps pour de multiples raisons. Une nouvelle règlementation qui se traduit par de nouvelles exigences, par exemple. Un changement de périmètre, comme une ESN qui se voit confier la gestion de serveurs critiques auxquels elle n’avait pas accès initialement, peut aussi faire bouger les lignes.

Il est donc fondamental de réévaluer périodiquement le niveau de risque et de mettre en place un suivi continu. La définition d’indicateurs clés permettra de détecter tout changement dans la relation avec le sous-traitant, et de déclencher ainsi une réévaluation du risque.

Les étapes pour s’adapter au changement de périmètre

Que faire si, suite  à ce changement, le sous-traitant n’est plus aligné avec les exigences de l’entreprise ?

1. Refuser le risque, en mettant fin à la relation avec ce tiers,
2. Réduire le risque, en mettant en place de nouvelles procédures qui permettent d’encadrer ce risque,
3. Transférer le risque au tiers (ou à un autre tiers),
4. Accepter le risque faute de mieux et lorsque l’arrêt de la collaboration est préjudiciable à l’entreprise

À qui confier cette mission ?

En entreprise, le risque n’est pas seulement informatique.

La direction peut considérer qu’un fournisseur n’est plus digne de confiance, si elle apprend que celui-ci vient de changer de gouvernance ou s’il rencontre des difficultés financières, par exemple. La DSI peut s’opposer à l’adoption d’une solution cloud, si elle juge que l’acteur la proposant ne respecte pas les critères de sécurité exigés. Le service juridique, quant à lui, peut mettre son veto si un tiers n’est pas en conformité avec l’ensemble de la règlementation en cours (RGPD, SAPIN 2, etc.).

Il faut adopter une approche centralisée. Il est impératif qu’un responsable soit désigné – par exemple un spécialiste de la gestion des risques – pour gérer et surveiller le réseau de tiers. Ainsi, les décisions qui s’imposent lorsque l’un d’entre eux ne pourra plus être considéré comme un partenaire de confiance pourront être prises.

Publié dans le JDN

¹ ANSSI : Agence nationale de la sécurité des systèmes d’information

² Etude réalisée pour BlueVoyant : https://www.bluevoyant.com/ciso-report-download-form

³ RSSI : Responsable de la sécurité des systèmes d’information