Plus les entreprises se modernisent et se développent, plus leur dépendance aux fournisseurs tiers augmente. Prestataires de gestion de la paie, conseillers en propriété intellectuelle, éditeurs de logiciels, partenaires logistiques… toutes ces relations avec ces intervenants externes sont devenues essentielles à l’activité des entreprises. Seulement voilà, chaque nouvel acteur génère un risque d’autant plus grand que sa cybersécurité laisse trop souvent à désirer.
Loin d’être purement théoriques, les cyber-risques de sources tierces constituent bel et bien une menace grandissante pour les entreprises, avec des conséquences potentiellement désastreuses : perturbations opérationnelles, atteinte à la réputation, sanctions réglementaires, etc. Cependant malgré l’importance des enjeux, nombre de structures continuent de déléguer la gestion des risques fournisseurs au département achat, lequel tend à se contenter de checklists et d’auto-évaluations annuelles.
En plus d’être dépassée, cette approche s’avère franchement dangereuse.
D’après une étude de PwC, seulement 31 % des organisations suivent des procédures officielles et transverses à l’entreprise pour évaluer les risques fournisseurs. Ce qui signifie que la majorité navigue à l’aveugle. Dans un monde où même les ETI peuvent gérer des dizaines (voire des centaines) de prestataires disposant très souvent d’accès privilégiés à des données et systèmes sensibles, cet immobilisme n’est pas tenable.
Dans la quasi-totalité des entreprises, les lacunes de sécurité des fournisseurs représentent un risque existentiel que les dirigeants doivent traiter de toute urgence.
Comment les risques tiers se muent en vulnérabilités cyber
On ne compte plus les incidents de cybersécurité directement causés par une faille dans les systèmes d’un fournisseur. Les gros titres des médias sont d’ailleurs là pour nous le rappeler. Parmi ces cas, la tristement célèbre attaque SolarWinds en 2020, ou la compromission subie par Target en 2013. Autant d’exemples qui montrent l’effet domino que la moindre vulnérabilité chez un prestataire peut avoir sur votre environnement. Et ces cas sont loin d’être isolés. Dans tous les secteurs, les attaquants s’en prennent au maillon faible de la supply chain logicielle, avec des conséquences souvent catastrophiques.
Notons par ailleurs que les entreprises informatiques traditionnelles ne sont pas les seules dans le viseur des cybercriminels. Prestataires de services financiers, partenaires cloud ou télécoms, compagnie d’électricité… peu importe la cible, pourvu qu’elle se connecte directement ou indirectement à vos systèmes. Cela vaut donc pour les éditeurs logiciels, les constructeurs et équipementiers informatiques, les distributeurs, et – de plus en plus – les clients.
Une fois les premiers remparts percés, les attaquants prennent leur temps. Ils se déplacent latéralement dans les différents réseaux, à la recherche de données sensibles : fichiers clients, propriété intellectuelle, identifiants, etc. Beaucoup introduisent des malwares dans les API, les plug-ins de navigateurs ou les systèmes de mise à jour, imitant des processus de confiance pour mieux passer sous les radars.
Force est de constater que la supply chain est une cible de choix. Comme le révèle une enquête du cabinet Enterprise Strategy Group (ESG), 41 % des supply chains logicielles des entreprises ont subi des attaques zero-day exploitant des vulnérabilités nouvelles ou jusqu’ici inconnues dans le code tiers. En parallèle, 40 % des organisations déclarent avoir été victimes d’exploits provenant d’un service cloud mal configuré.
Ces cas ne sont pas des exceptions. Ce sont les symptômes d’une tendance de fond déjà constatée par de nombreux RSSI. À savoir : les risques tiers ne constituent pas un simple problème de cybersécurité, mais une véritable vulnérabilité pour toute l’entreprise, de celles qui exigent une vigilance de tous les instants.
Les conséquences dévastatrices des attaques de sous-traitants
En général, les attaques sur des tiers se passent sans bruit. Le temps qu’on les découvre, il est déjà trop tard.
La compromission d’un seul partenaire suffit à exposer des données sensibles, à perturber les opérations et à entraîner l’entreprise ciblée dans un cycle interminable d’investigation, de remédiation et de restauration. Dans ces cas-là, les systèmes ne sont pas les seuls à être ébranlés. La confiance aussi, et ce à tous les niveaux : clients, autorités de réglementation, partenaires, et même le public au sens large.
Rien que sur le plan réglementaire, le préjudice est colossal. Et pour cause, du RGPD de l’Union européenne au LGPD brésilien, en passant par le secteur de santé américain et son HIPPA, les cadres réglementaires de protection des données tiennent désormais les entreprises responsables des compromissions, indépendamment de l’origine de la vulnérabilité. Outre les sanctions financières directes, le préjudice réputationnel peut être considérable sur la durée.
L’autre grand danger des risques externes est qu’ils augmentent avec votre croissance. Chaque nouveau prestataire, chaque intégration supplémentaire, chaque percée sur un nouveau marché accroît votre surface d’attaque. Faute de visibilité en temps réel sur les écosystèmes partenaires, cette surface devient un angle mort que les adversaires réussissent à exploiter de mieux en mieux.
Les mesures à prendre de toute urgence
Face à l’explosion des risques tiers, une approche radicalement différente s’impose. Audits statiques, questionnaires fournisseurs, checklist de conformité annuelle… les procédures administratives traditionnelles ne font plus le poids à l’heure où la multiplication des partenaires externes étend toujours plus la surface d’attaque.
Pour assurer votre cybersécurité, il est temps de :
- Classer les fournisseurs selon le niveau de criticité pour les métiers. Tous les prestataires ne font pas peser le même risque sur votre entreprise. Cette diversité doit donc se refléter dans vos exigences de cybersécurité. D’où la nécessité d’adopter un modèle à plusieurs niveaux qui classe les fournisseurs dans différentes catégories de risques, en fonction de leur importance opérationnelle et de leurs droits d’accès aux systèmes. Ainsi, pour les fournisseurs stratégiques, exigez une adhésion totale à vos politiques Zero Trust (vérification rigoureuse des identités, segmentation, surveillance continue, entre autres). Quant aux partenaires présentant un risque moyen à faible, veillez à faire respecter les contrôles de base et à revoir proportionnellement les exigences à la hausse, le cas échéant.
- Passer d’une évaluation ponctuelle des risques à un examen en temps réel. Les environnements tiers ne cessent d’évoluer. Ce qui semble sécurisé peut du jour au lendemain devenir vulnérable. Il vous faut donc évaluer les risques de manière dynamique. À ce titre, le réexamen régulier des fournisseurs de longue date est aussi important qu’une évaluation méticuleuse de nouveaux prestataires.
- Imposer les principes Zero Trust, partout. Il est crucial d’appliquer votre modèle Zero Trust à l’entreprise étendue, fournisseurs inclus. Segmentation des accès, validation rigoureuse des identités à chaque point d’entrée, surveillance des comportements anormaux… si vos partenaires ne jouent pas le jeu d’une posture robuste, votre sécurité dépend alors de son maillon le plus faible.
- Aligner vos fournisseurs sur vos propres politiques. Trop souvent, les partenaires obéissent à des protocoles de sécurité moins stricts. Cela doit changer. Les entreprises devraient imposer à leurs fournisseurs leur propre cadre réglementaire interne, sans aucune exception, et ce sur tous les fronts : du traitement des données jusqu’à la réponse à incident.
- Libérer tout le potentiel de la Threat Intelligence et de l’automatisation. Une visibilité en temps réel sur les risques est certes possible, mais elle nécessite d’investir dans des solutions intelligentes. Ainsi, l’IA et le machine learning (ML) sont en mesure de détecter les vulnérabilités avant leur exploitation, surtout s’ils puisent en continu et en direct dans des flux de télémétrie et de CTI.
- Partager proactivement la Threat Intelligence avec vos prestataires stratégiques. Les entreprises ne doivent plus se contenter de sécuriser leur propre périmètre. Il leur incombe de renforcer la résilience collective de tout leur écosystème de partenaires. A minima, les fournisseurs stratégiques devraient participer à un partage mutuel d’informations de veille cyber, notamment dans les secteurs de l’énergie, de la santé et du retail où ces pratiques accusent un certain retard par rapport aux services financiers. Rappel important : la compromission d’un fournisseur laisse des traces pour vous aussi.
- Placer tous les acteurs de l’écosystème devant leurs responsabilités. Bien plus que de simples partenaires, vos prestataires forment des extensions de votre périmètre numérique. Et ce droit que vous leur accordez doit s’accompagner de devoirs. D’où la nécessité d’intégrer systématiquement la surveillance continue de la sécurité à vos cahiers des charges, au lieu de la greffer après-coup dans la précipitation.
En résumé, identifier les partenaires à risque n’a d’intérêt que si vous le faites rapidement et engagez les mesures correctives nécessaires. Face au durcissement des contrôles réglementaires et à la sophistication croissante des cyberattaques, la confiance intrinsèque dans la sécurité des partenaires n’a plus sa place.
Le renforcement de vos exigences de sécurité vis-à-vis de vos partenaires ne consiste pas uniquement à éviter une éventuelle compromission. Il s’agit avant tout de protéger ce que vous avez patiemment construit : votre entreprise, et surtout, sa réputation.
Envie d’explorer le regard de Haider Pasha dans ses autres articles ? Rendez-vous sur Perspectives.
1« How SOC reporting can help assess cybersecurity risk management in third-party relationships—and beyond », PwC, 2022.
2« The growing complexity of securing the software supply chain », Enterprise Strategy Group, mai 2024
