IT BtoB European Collaborative Webzine for leaders

Sécuriser la collaboration avec les fournisseurs tiers pour prévenir la faille

publié le jeudi 11/04/2019

La sous-traitance aide les organisations à rester à la pointe de la concurrence et à optimiser leurs coûts. Les startups, en particulier, procurent souvent aux entreprises des technologies numériques qui les aident à fabriquer de meilleurs produits et à fournir des services plus rapidement.

 

Cependant, ces interventions externes augmentent les risques pour les données sensibles, car elles obligent les entreprises à étendre leurs écosystèmes numériques. Or, ces dernières ne connaissent, la plupart du temps, pas clairement les règles de sécurité des processus commerciaux de la société auprès de laquelle elles externalisent, mais elles sont pourtant toujours tenues responsables en cas de violation de données.

 

C’est pourquoi chaque entreprise doit adopter une approche fondée sur les risques lors de l’établissement de relations avec des entrepreneurs de toutes tailles, et éviter ainsi de commettre les cinq erreurs majeures qui suivent :

 

Erreur n°1. Mauvaise gestion des relations avec les tiers

Même si une entreprise répare régulièrement ses systèmes et fournit une formation en cybersécurité à tous ses employés, il se peut que les sous-traitants n’aient, pour leur part, pas mis en place de routines de sécurité similaires ; ce qui peut exposer un système interconnecté aux attaques et aux fuites de données. Par exemple, les employés d’un sous-traitant risquent d’être victimes d’un email malveillant, qui permettra aux pirates informatiques d’accéder au réseau commun et de dérober des données sensibles. Par conséquent, il est essentiel de choisir minutieusement les partenaires potentiels, de définir un ensemble d'exigences de sécurité auxquelles devront se soumettre les entrepreneurs, et de les inclure dans chaque accord juridique. Ces critères doivent couvrir tous les flux de travail et tous les environnements du partenaire impliqués dans le traitement des données.

 

De plus, l’organisation doit effectuer des audits réguliers des systèmes et actifs inclus dans le champ d'activité de ses sous-traitants, et évaluer les pratiques des intervenants tiers, en matière de sécurité et de confidentialité. En effet, les entrepreneurs soucieux d’établir des relations pérennes et solides suivent les directives de leurs clients et se conforment aux normes de l’industrie auxquelles leurs clients sont soumis. Si un contractuel ne peut pas démontrer la mise en place de pratiques de sécurité adaptées, les risques liés à la sécurité l'emporteront de manière quasi certaine sur la valeur du partenariat.

 

Erreur n°2. Une sécurité réseau insuffisante

La sécurité est essentielle lorsqu’une organisation met en place des réseaux interconnectés avec ses fournisseurs ; leur segmentation est particulièrement essentielle car elle empêche les personnes ou machines tierces de connecter leurs systèmes directement aux parties critiques des réseaux de l’entreprise. En outre, ne pas mettre en œuvre de segmentation du réseau augmente le risque d'accès non autorisé. Par exemple, dans la faille de données qui a touché l’enseigne Target, il y a quelques années, le fournisseur de systèmes de réfrigération d'un détaillant avait été piraté et l'absence de segmentation du réseau avait permis à un programme malveillant de s’y propager. Lequel avait ensuite pu accéder aux informations du système de point de vente, permettant aux pirates de voler plus de 40 millions de cartes de crédit à près de 2 000 magasins Target.

 

Afin d’éviter une faille similaire, il est vivement recommandé de déployer des pares-feux et de les configurer de manière adéquate afin que les employés ne puissent accéder qu’aux ressources nécessaires à l’exécution de leurs tâches. En parallèle, les personnes extérieures à l’organisation n’auront, pour leur part, pas accès aux zones les plus sensibles du réseau. Ainsi, même si l’un des employés d’un contractuel est victime d’une attaque, le hacker ne pourra pas utiliser ses identifiants pour accéder aux données de l’entreprise partenaire.

 

Enfin, la mise en œuvre et la gestion de la segmentation du réseau interne est clé. Pour ce faire, il suffit de séparer les groupes de systèmes et d'applications et de limiter la communication entre les segments afin d'empêcher un attaquant de se déplacer latéralement à travers l'ensemble du réseau.

 

Erreur n°3. Privilèges trop élevés et surexposition des données

Les intervenants tiers ayant besoin d'accéder au réseau ne devraient se voir attribuer que les privilèges – ou droits d’accès – nécessaires à l’exécution de leurs tâches. Par exemple, si une entreprise recrute un partenaire pour l’aider à configurer une application métier, celle-ci doit s’assurer que ses employés ne peuvent pas accéder aux données confidentielles des partages de fichiers.

 

En outre, elle doit veiller à identifier toutes les données surexposées et à supprimer régulièrement et proactivement les privilèges trop élevés. Les données peuvent être copiées ou déplacées vers des emplacements inappropriés et des droits d'accès trop élevés peuvent être attribués par erreur. Il faut donc être vigilant, en particulier lorsqu'il s'agit de l’accès par des tiers à des données sensibles et confidentielles.

 

Erreur n°4. Manque de visibilité

Toute organisation qui choisit d’ouvrir l’accès à son réseau à des partenaires doit absolument surveiller leurs activités de près. Les équipes informatiques doivent en effet être à même de vérifier les changements effectués, quand cela se produit et à quel emplacement. Pour ce faire, elles doivent se référer au plan d’action sur lequel les deux entités se sont mises d’accord au préalable, en se basant sur un cahier des charges et un calendrier établi. Une attention particulière doit être portée aux anomalies suivantes :

  • Les activités en dehors des heures habituelles de travail – Les heures de travail de chaque contractant doivent être fixées dans le plan d’action. Si un tier se connecte à un horaire inhabituel, une recherche rapide doit être effectuée afin d’en connaître les raisons et bloquer une potentielle action malveillante ;
  • Les pics d'activité – Toute augmentation d'activité soudaine peut indiquer que quelque chose ne va pas. Par exemple, un pic d'activité de lecture pourrait survenir car un fournisseur a été piraté et des hackers tentent d'accéder aux informations auxquelles ce dernier n’accède habituellement pas ;
  • Les tentatives de connexion VPN, à partir de lieux inhabituels, et les multiples tentatives d'ouverture de sessions à partir d'emplacements différents, de manière simultanée – Les entrepreneurs utilisent souvent un réseau privé virtuel pour accéder aux réseaux de leurs clients et partenaires. Les équipes informatiques doivent par conséquent surveiller ces événements. Si un entrepreneur basé à Paris tente de se connecter depuis la Chine, cette anomalie doit être détectée, et des mesures prises immédiatement.

Erreur n°5. Ignorer les pratiques de sécurité de base

Notre dernier rapport sur les risques informatiques, publié en 2018, a révélé que de nombreuses entreprises ne parviennent pas à évaluer correctement leurs risques et à mettre en place des contrôles de sécurité appropriés. En effet, 36 % des entreprises réalisent un inventaire des actifs une fois par an ou moins fréquemment, 20 % se débarrassent rarement ou jamais des données obsolètes et inutiles et 17 % n'ont jamais effectué d'évaluation des risques IT.

 

Pourtant, une évaluation approfondie des risques informatiques, incluant les risques tiers, constitue une première étape cruciale pour éviter que les systèmes et données critiques d’une organisation soient compromis. Elle permet également la mise en œuvre d’une stratégie efficace de réponse aux attaques. Les entreprises doivent évaluer les risques associés à chaque intervenant tiers, et revoir régulièrement ses contrôles de sécurité. Elles doivent notamment, adresser les accès tiers dans leur stratégie de sécurité, par exemple en spécifiant que l'accès doit être accordé seulement aux personnes qui en ont besoin, et que tous les comptes de tiers doivent être immédiatement désactivés à la fin du contrat.

 

De récentes études conduites par l’Institut Ponemon indiquent que le nombre d'entreprises ayant subi une violation de données par un tiers aurait augmenté de 10 % en trois ans, passant de 49 % en 2016 à 59 % en 2018. À moins que les entreprises ne changent leur approche en matière de gestion des risques informatiques, nous continuerons d’observer une augmentation du nombre d’incidents dus à une mauvaise conduite de la part de tiers. Afin de tirer parti des avantages de cette collaboration avec des partenaires externes, y compris des petits fournisseurs et des startups, les entreprises doivent inclure la sécurité parmi leurs critères de sélection des tiers avec lesquels elles souhaitent collaborer.


Par Pierre-Louis Lussan, directeur France et Europe du sud est chez Netwrix

Aucun Vote
Réseaux sociaux :
Twitter Facebook Google LinkedIn

Autres articles sur le même sujet :

Mots clefs :