Qu’est ce que les risques liés aux tiers ?
Sous-traitants, fournisseurs, prestataires : des points d’entrée de choix pour les actes malveillants
Un des exemples les plus marquants de cette année 2024 est la fuite de données subi par France Travail en mars par l’intermédiaire de l’un de ses sous-traitant.
La plupart des organisations traitant des données sensibles ont prises des mesures afin d’élever leur niveau de maturité cyber, néanmoins l’application d’exigences de sécurité et de contrôles sur les fournisseurs et sous-traitants peine à se généraliser : « j’ai confiance en mon fournisseur », « je ne suis pas légitime de le contrôler »…
Il est donc généralement plus simple d’attaquer fournisseur ou sous-traitant plutôt que la cible directement.
De nombreux référentiels de cybersécurité dédient pourtant des chapitres entiers à la « sécurité des tiers » (ISO 27001, RGPD, DORA, PCI-DSS ou encore NIS2).
Le rapport du Sénat de 2021 sur la cybersécurité des entreprises évoque d’ailleurs « l’effet domino » et alerte sur le report des attaques vers les fournisseurs et sous-traitants.
Il existe 2 raisons principales à ce phénomène :
- Le tiers peut avoir un accès direct au SI client (et donc aux données) dans le cadre de ses activités (infogéreur, hébergeur, maintenance logicielle…).
- Le tiers n’applique pas le même niveau de sécurité que son client (mauvaise maitrise des accès, manque de sensibilisation, pas de mesures de résilience).
Alors dans un tel contexte comment s’assurer que son prestaire, fournisseur ou sous-traitant n’induit pas un risque sur le SI ?
Tout d’abord, il est important de réaliser une analyse des risques liés à la sous-traitance ou à la prestation de fourniture avant toute contractualisation.
La méthode EBIOSRM par exemple, utilisé par les experts de Cyber ETHIC, permet de réaliser une analyse de l’écosystème en évaluant 4 critères :
- Dépendance au tiers
- Accès au SI par le tiers
- Maturité cyber du tiers
- Confiance envers le tiers
Selon le niveau de risque de la relation, des mesures spécifiques et des exigences envers le tiers doivent être élaborées. Ces exigences doivent apparaitre dans le contrat ou dans un PAS (Plan d’Assurance Sécurité).
Il est important également de s’assurer que les exigences définies soient bien respectées en auditant ou contrôlant régulièrement le tiers, comme le dit l’adage « la confiance n’exclut pas le contrôle » !
Enfin, il est essentiel que le sous-traitant prenne conscience des enjeux de sécurité, aussi la communication est importante afin de conserver des relations saines.
Des règles bien établies dès le début de la relation permettent d’établir un cadre et de pérenniser la relation de confiance.
Besoins d’information supplémentaire: Cyber ETHIC