La gestion du risque associé aux tierces parties constitue une facette essentielle de la stratégie de cybersécurité d’une entreprise, mais elle ne bénéficie pas souvent de l’attention ou des ressources qu’elle mérite. Pourtant, en l’ignorant, les entreprises laissent grand ouverte une des principales voies d’accès des hackers, acteurs malveillants et États pratiquant des cyberattaques. Elles s’exposent en effet à des risques réputationnels ou opérationnels si les tierces parties ne sécurisent pas ou pas suffisamment leurs propres systèmes.
Dans cet article, nous allons vous expliquer en quoi consiste la gestion du risque associé aux tierces parties et comment élaborer une stratégie de gestion de ce risque. Nous verrons ensuite quelques bonnes pratiques et comment préparer votre organisation à approfondir et optimiser la gestion de ce risque au sein de votre service de cybersécurité.
- Importance de la gestion du risque associé aux tierces parties
- Bonnes pratiques de gestion du risque associé aux tierces parties
Qu’est-ce que la gestion du risque associé aux tierces parties ?
La gestion du risque associé aux tierces parties consiste à s’assurer que les tiers avec lesquels vous travaillez bénéficient d’un niveau de cybersécurité et de due diligence équivalent ou supérieur à celui de votre propre entreprise. Ces tierces parties incluent les sous-traitants, fournisseurs, prestataires de services dans le cloud… Bref, toute entreprise qui, si elle venait à subir une fuite de données ou une exposition accidentelle, pourrait exposer vos propres systèmes ou informations sensibles.
Par exemple, votre équipe marketing s’appuie certainement sur une solution de marketing par courriel tierce pour envoyer votre newsletter. Cette solution contient des informations personnelles sur vos clients, comme leur nom et leur adresse électronique. Selon son degré d’intégration, elle peut aussi renfermer des informations plus sensibles, notamment leur adresse de livraison, l’historique de leurs achats, etc.
Si l’éditeur de cette solution était victime d’une fuite de données, les informations de vos clients pourraient ainsi elles aussi être concernées. Votre organisation serait alors tenue responsable de la remédiation et de la réponse à cet incident, ainsi que de la communication liée, ce qui peut s’avérer compliqué si vous ignorez son existence. Ce type de risque concerne la plupart, voire la totalité des tierces parties, et c’est bien pour cette raison qu’il est essentiel de connaître les risques encourus.
VendorCentric propose une très bonne analyse des différents types de risques posés par les tierces parties. En voici un bref récapitulatif :
Risque réputationnel
Votre association à une tierce partie peut entraîner des conséquences sur votre réputation pour des raisons politiques, opérationnelles, relationnelles ou autres. Si une marque est placée sous le feu des critiques et qu’il apparaît que vous collaborez avec elle d’une manière ou d’une autre, les critiques peuvent faire tâche d’huile et nuire à vos relations avec vos clients, ainsi qu’à votre chiffre d’affaires.
Risque opérationnel
Avec la montée en puissance des solutions et infrastructures dans le cloud, de plus en plus de grandes entreprises s’appuient sur des partenaires pour leurs opérations métier. Par exemple, de nombreuses entreprises font confiance à l’hébergeur cloud AWS. Si AWS venait à connaître une défaillance (ce qui est déjà arrivé), le site ou les services de ces entreprises pourraient eux aussi devenir inaccessibles.
Risque de conformité
Les agences de conformité gouvernementales et les réglementations s’intéressent de plus en plus aux tierces parties. Le NIST a ainsi récemment émis un avis spécial qui met en exergue leur rôle dans la sécurité de l’information. En fonction de votre secteur, vous pouvez être soumis à certaines obligations de conformité et réglementations, vous imposant de mettre en place une forme de gestion du risque associé aux tierces parties et vous rendant responsable de la conformité de ces tiers.
Risque pour la sécurité de l’information
Il s’agit du risque le plus important et il peut d’ailleurs avoir un impact sur l’ensemble des risques que nous avons mentionnés précédemment. Vous avez peut-être investi dans votre propre service de cybersécurité pour protéger votre organisation. Mais savez-vous si toutes les tierces parties avec lesquelles vous travaillez en font autant ? Savez-vous si les données stockées sur leurs serveurs sont aussi sécurisées qu’il le faudrait ? Savez-vous quel est leur plan en cas de fuite de données et si elles prennent des mesures pour empêcher un éventuel hacker d’atteindre votre réseau ? Le piratage qui a touché Target en 2013 était ainsi lié à celui de son fournisseur de systèmes CVC, qui a été utilisé pour atteindre les systèmes de Target et dérober les données de cartes bancaires de millions de clients.
Cet article va principalement se concentrer sur ce risque, car il peut influer sur les autres risques associés aux tierces parties et les neutraliser.
Pourquoi la gestion du risque associé aux tierces parties est-elle importante ?
Sans gestion du risque associé aux tierces parties, vous augmentez votre exposition. Un hacker à la solde d’un État ou un acteur malveillant qui cherche à pénétrer sur le réseau de votre organisation sait que le moyen le plus facile d’y parvenir est de s’attaquer à son maillon faible. Le plus souvent, il s’agit des tierces parties et des employés. Ce risque est de plus en plus présent, car de plus en plus d’entreprises multiplient les partenariats pour gérer leurs processus métier. D’après une étude réalisée en 2019 par Gartner, 71 % des entreprises estiment compter davantage de fournisseurs tiers qu’il y a 3 ans et 83 % des cadres ont identifié des risques associés aux tierces parties après l’intégration initiale de leurs fournisseurs et l’exécution du processus de due diligence.
La mise en place d’une stratégie solide de gestion du risque associé aux tierces parties peut faciliter l’identification des risques dans votre réseau, la limitation de ces risques, la réduction et la prévention des dégâts en cas d’incident et la réponse aux fuites de données ou attaques en vous permettant de résoudre les problèmes avant qu’ils n’aient des conséquences trop importantes pour vous ou pour vos clients.
Difficultés de la gestion du risque associé aux tierces parties
Visibilité : vous ne disposez pas toujours des bons processus ou outils pour tenir une liste de toutes les tierces parties associées à votre entreprise. Des employés ou services peu consciencieux peuvent aussi décider d’intégrer de nouveaux fournisseurs sans vous en informer (shadow IT). La gestion du risque associé aux tierces parties devient alors complexe, car vous ne pouvez pas vérifier ou évaluer les fournisseurs dont vous ignorez l’existence.
Responsabilité et réponse : les contrats et accords n’imposent pas nécessairement à une tierce partie de vous informer immédiatement d’une fuite de données sur ses systèmes ayant entraîné des conséquences sur vos informations. Si vous restez dans l’ignorance, un acteur malveillant peut s’introduire sur votre réseau sans que vous le sachiez et mettre à mal votre capacité de réponse à l’incident. La tierce partie n’est également pas nécessairement tenue de se conformer à vos normes de conformité ou réglementaires, ce qui peut aboutir à des amendes ou à d’autres difficultés juridiques. Ainsi, il est absolument vital de connaître en détail les dispositions et accords liés aux incidents de sécurité et à la conformité réglementaire pour gérer le risque.
Mesures et processus : tout comme pour votre propre service de cybersécurité, vous devez adopter des mesures et processus pour la gestion du risque associé aux tierces parties. Vous devez mettre en place des processus pour vous assurer qu’aucun fournisseur ne soit intégré sans que vous ne le sachiez et sans due diligence. En ce qui concerne les tierces parties stratégiques pour votre entreprise, vous devez disposer de plans, d’outils et de stratégies d’urgence permettant d’être informé en cas de fuite de données de ces fournisseurs, d’éviter tout dommage supplémentaire à votre propre organisation et d’être en mesure de répondre et communiquer de manière appropriée.
4 bonnes pratiques de gestion du risque associé aux tierces parties
La gestion du risque associé aux tierces parties est un processus : il n’existe pas de solution universelle. Comme pour la plupart des stratégies liées au risque et à la sécurité, l’approche doit être adaptée aux besoins, aux ressources, à la taille, au secteur et aux obligations de conformité de l’organisation.
1. Établir un inventaire
Une fois que vous comprenez les risques associés aux tierces parties spécifiques à votre organisation et les conséquences qu’ils peuvent avoir sur vous, vous devez établir un inventaire de tous vos fournisseurs. Pour ce faire, il peut être nécessaire de recourir à des outils capables d’analyser l’intégralité de votre réseau et/ou de vous donner de la visibilité sur vos actifs. Vous devez également consulter les différents responsables de services pour vous assurer de ne rien oublier. Contactez le service juridique pour lancer une recherche complète des fournisseurs et partenaires par le biais des contrats actifs et inactifs. Vous pourrez ainsi également mettre au jour les contrats expirés de tiers qui disposent encore d’une forme d’accès à vos données ou à votre réseau.
2. Hiérarchiser vos fournisseurs
Une fois que vous avez établi la liste de vos fournisseurs, classez-les selon leur risque et leur importance pour votre entreprise. Un fournisseur à haut risque et stratégique est par exemple un fournisseur qui, s’il était victime d’une défaillance ou d’une fuite de données, nuirait fortement à votre capacité à mener à bien vos activités ou mettrait vos données (et/ou celles de vos clients) en danger. Les fournisseurs à bas risque n’ont pas (ou ne devraient pas avoir) d’accès à des données sensibles et n’auraient pas d’impact significatif sur votre activité en cas de problème. Ce classement vous aidera à mener à bien l’étape suivante.
3. Évaluer vos fournisseurs
Passez en revue les contrats de vos fournisseurs les plus stratégiques et les plus à risque et évoquez leur cas avec votre service juridique. Envisagez divers scénarios et réfléchissez aux questions suivantes :
- En cas de fuite de données, quelles informations doivent-ils éventuellement révéler ?
- S’ils doivent effectivement communiquer, sous quel délai sont-ils tenus de le faire ?
- Quelles stratégies de réponse/limitation sont en place ?
- Collaboreront-ils avec vous dans le cadre de votre stratégie de réponse aux incidents ?
- Se conforment-ils aux réglementations auxquelles vous êtes soumis ?
Ces questions vous aideront à mieux comprendre la nature du risque associé aux tierces parties, qu’il s’agisse du manque de sécurité d’un fournisseur, d’une absence de communication sur les violations ou de la non-conformité avec une réglementation que vous êtes tenu de respecter.
Vous devez également déterminer si une tierce partie vous expose à un risque superflu. Dispose-t-elle d’un accès à des données sensibles dont elle n’a pas besoin pour accomplir sa fonction ? Peut-être que son intégration réseau n’est pas nécessaire et que vous pouvez bloquer son accès pour éviter qu’un acteur malveillant n’atteigne vos serveurs.
4. Préparer vos fournisseurs à l’avenir
La stratégie détaillée ci-dessus vous aidera à identifier tout risque associé aux tierces parties évident et nécessitant votre attention immédiate, qu’il s’agisse d’un problème de conformité ou d’un risque stratégique que vous ne pouvez pas vous permettre d’ignorer. Travaillez avec vos fournisseurs pour les aider à atteindre la conformité requise ou trouvez d’autres moyens de limiter votre exposition au risque et veillez en parallèle à ce qu’aucun nouveau fournisseur ne vous expose à des risques similaires.
C’est là que les outils, logiciels et autres partenaires et fournisseurs entrent en scène. Donnez la priorité à la protection de vos bases de données dans le cloud, à la mise en place d’une visibilité totale sur vos fournisseurs et à la vérification de la sécurité des nouveaux partenariats ou contrats. En interne, de nouveaux processus doivent être mis en place pour empêcher les fournisseurs d’accéder à votre réseau sans que vous ne le sachiez et approuviez ce partenariat. Les outils de segmentation réseau et la mise en place d’un système d’accès à privilèges peuvent empêcher une tierce partie d’exposer vos données et des personnes mal intentionnées d’accéder à votre réseau à travers elle.
La gestion du risque associé aux tierces parties demande un effort constant
Si vous débutez tout juste, ne vous attendez pas à résoudre totalement les problèmes ou à mettre en place un cadre fonctionnel en seulement quelques semaines ou quelques mois. Ce processus mobilise beaucoup d’efforts et de ressources, et vous devrez prendre en compte de nouvelles tâches au fil du temps. Le simple fait de hiérarchiser les tierces parties que vous gérez (comme les fournisseurs basés dans le cloud ou les partenaires d’infrastructure) vous met sur la bonne voie.
Pour déterminer quel est le fournisseur cloud qu’il vous faut, consultez l’article de Varonis qui compare AWS, Azure et Google. Pour en savoir plus sur la sécurisation et la protection de vos données contre les menaces internes et externes, cliquez ici afin de découvrir la solution de protection des données de Varonis.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.