La règlementation actuelle se faisant de plus en plus stricte, notamment avec la loi Sapin 2 et le RGPD, ce risque n’est plus seulement technologique mais également légal et financier. Savoir gérer ces tiers, et les risques qu’ils font potentiellement peser sur votre entreprise est donc essentiel.
Le risque cyber lié aux tiers : fuite de données, indisponibilité des services suite à une attaque par ransomware, espionnage industriel, est en augmentation depuis des années. L’externalisation de plus en plus importante des services de l’entreprise provoque des interconnexions plus fortes des systèmes d’information (SI) entre fournisseurs et clients. Le nombre de données partagées, dont certaines sont particulièrement sensibles, augmente et devient difficile à contrôler.
Si les entreprises ont appris au fil des années à protéger leur SI, quand en est-il des tiers ? « Passer par la porte est désormais plus compliqué », déclarait en 2019 Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). « Les attaquants passent maintenant par les fenêtres. Et il y a beaucoup de fenêtres. »
Les « attaques par rebond » se multiplient : plutôt que de s’attaquer directement à votre SI, les pirates pénètrent celui de vos sous-traitants bien moins protégés et utilisent les portes que vous leur avez ouvertes pour atteindre votre organisation. Selon une étude conduite en juin 2020 pour BlueVoyant, 80% des entreprises interrogées ont été victimes dans les 12 derniers mois d’une fuite de données mettant en cause un de leurs sous-traitants.
Aujourd’hui, les directions générales sont plus sensibles aux risques que font peser les tiers technologiques, car ils peuvent entraîner des perturbations sur l’ensemble des services mais également des amendes importantes liées aux nouvelles règlementations. L’impact est donc autant opérationnel que financier et légal. Pour autant, selon le Ponemon Institute, seul un RSSI sur deux estime que la gestion de ces risques est efficacement prise en compte dans son entreprise. Les partenariats avec des tiers se multiplient sans concertation, et sans avoir vérifié que les aspects sécuritaires aient bien été évalués.
Connaître ses fournisseurs
Il est important pour l’équipe sécurité d’avoir une vision exhaustive de l’ensemble des tiers auxquels l’entreprise fait appel. Ainsi, pour chacun d’eux, elle sera en mesure de contrôler le niveau d’accès autorisé au système d’information et aux données.
Il sera également possible de classifier ces tiers en fonction du risque sécurité qu’ils font peser sur l’entreprise. Prenons pour exemple un client à qui l’on accorde uniquement des droits d’accès à la consultation du stock, le risque généré pour l’organisation sera beaucoup plus faible qu’une entreprise de maintenance informatique ayant des autorisations d’accès à des serveurs critiques.
Suivre l’évolution du risque tout au long de la relation
Généralement, les entreprises concentrent leurs efforts sur la phase initiale de contractualisation. Une check-list permet d’évaluer le niveau de sécurité mis en place par le tiers afin d’évaluer le risque inhérent pour l’entreprise. Si le risque est jugé acceptable, le projet peut être contractualisé.
Toutefois, ce risque peut évoluer dans le temps pour de multiples raisons : une nouvelle réglementation qui se traduit par de nouvelles exigences, ou un changement de périmètre comme une ESN qui se voit confier la gestion de serveurs critiques auxquels elle n’avait pas accès initialement.
Il est donc fondamental de réévaluer périodiquement le niveau de risque et de mettre en place un suivi continu. La définition d’indicateurs clés permettra de détecter tout changement dans la relation avec le sous-traitant et de déclencher cette réévaluation du risque.
Que faire si, suite à ce changement, le sous-traitant n’est plus aligné avec les exigences de l’entreprise ?
1. Refuser le risque, en mettant fin à la relation avec ce tiers,
2. Réduire le risque, en mettant en place de nouvelles procédures qui permettent d’encadrer ce risque,
3. Transférer le risque au tiers (ou à un autre tiers),
4. Accepter le risque faute de mieux et lorsque l’arrêt de la collaboration est préjudiciable à l’entreprise.
À qui confier cette mission ?
En entreprise, le risque n’est pas seulement informatique. La direction peut considérer qu’un fournisseur n’est plus digne de confiance si elle apprend que celui-ci vient de changer de gouvernance ou s’il rencontre des difficultés financières. La DSI peut s’opposer à l’adoption d’une solution cloud, si elle juge que l’acteur la proposant ne respecte pas les critères de sécurité exigés. Le service juridique, quant à lui, peut mettre son veto si un tiers n’est pas en conformité avec l’ensemble de la réglementation en cours.
Une approche centralisée doit être adoptée. Il est impératif qu’un responsable soit désigné – par exemple un spécialiste de la gestion des risques – pour gérer et surveiller le réseau de tiers… et prendre les décisions qui s’imposent lorsque l’un d’entre eux ne pourra plus être considéré comme un partenaire de confiance.