Le coup de poing le plus dangereux en boxe est celui que vous ne voyez pas. Il en va de même en cybersécurité.
Les entreprises se concentrent sur la protection de leurs actifs numériques en utilisant une combinaison de détection des menaces, de surveillance et de contrôle des accès. Mais un problème survient rapidement — toutes leurs données ne se trouvent pas dans les murs virtuels de leur réseau.
La cyber-résilience dans ce milieu nécessite plus que de savoir dans quelle mesure votre entreprise peut résister à une cyberattaque directe sur votre réseau. Cela inclut également d'avoir une compréhension de votre écosystème de partenaires et de la manière dont ils gèrent la sécurité. Qu'il s'agisse de sous-traitants de paie, de fournisseurs ou d'un autre type de prestataire traitant ou stockant vos données, les tiers ajoutent une couche supplémentaire à la surface d'attaque d'Enterprise et représentent un point faible potentiel pour les exigences de conformité réglementaire ou les programmes de cybersécurité d'Enterprise.
En résumé, les temps d'arrêt pour eux peuvent signifier des temps d'arrêt pour vous, donc gérer avec succès les relations avec les fournisseurs tiers — de l'onboarding à la résolution des incidents — est crucial pour faciliter la continuité de l'activité. « La gestion proactive des risques liés aux tiers (TPRM, Third-Party Risk Management) permet aux organisations de mettre en place des mesures de protection efficaces pour renforcer la résilience face aux incidents susceptibles de perturber l'activité », déclare Christelle Chau, Vice-présidente, Security GRC chez Okta
Ci-dessous, nous avons décrit trois actions critiques que les responsables de la sécurité devraient prendre pour protéger les données et les systèmes contre les risques liés aux tiers et les perturbations potentielles.
1. Évaluez vos partenaires en fonction de leur importance pour l'entreprise et de leur potentiel de nuisance
Le nombre considérable de relations avec des fournisseurs qui doivent être gérées peut être intimidant. Après avoir établi les objectifs de leur programme TPRM (Third-Party Risk Management ou gestion des risques tiers), la première étape pour les entreprises consiste à inventorier leur écosystème de partenaires, explique Chau.
« Le recours continu à des tiers nécessite une diligence raisonnable plus approfondie en raison des risques et des incertitudes qu'ils peuvent potentiellement entraîner », explique Chau
Malheureusement, selon Chau, les processus de gestion des risques tiers sont souvent obsolètes et se concentrent sur la phase d'onboarding. Organizations doivent s'éloigner d'une approche basée sur des listes de contrôle et adopter des moyens innovants pour contextualiser leur méthode d'évaluation.
Chez Okta, les informations recueillies auprès de tiers permettent à l'entreprise d'évaluer les protections et les contrôles en place. Selon Chau, les lacunes potentielles en matière de sécurité peuvent être identifiées, et Okta peut collaborer avec le partenaire pour les corriger.
Ken Collins, Directeur principal de la sécurité de l'information chez Sunbelt Rentals, déclare que son équipe effectue des évaluations approfondies des fournisseurs tiers, en se concentrant particulièrement sur ceux jugés essentiels pour la mission.
« Nous recueillons autant de données pertinentes que possible — politiques de sécurité, rapports SOC, toute certification de conformité ou de sécurité, etc. — et nous nous assurons qu'elles répondent à nos standards », dit-il « Nous utilisons ces informations pour déterminer le niveau de risque de chaque fournisseur, et s'il est acceptable, nous procédons. » « Nous réévaluons également ce fournisseur périodiquement en fonction de son profil de risque. »
Toutes les tierces parties n'apportent pas le même niveau de risque ; par conséquent, elles doivent être classées et catégorisées selon différents niveaux de gravité en fonction du type de produits/services qu'elles fournissent à l'organisation, de leur accès aux données et au réseau, et de l'impact commercial d'un incident de sécurité, explique Chau.
La gestion des identités et des accès est un élément critique. La même identité qui protège les employés d'une Organizations doit être tissée autour de tous les tiers qui accèdent aux systèmes et aux données de l'Organizations. Cela signifie appliquer la surveillance appropriée, provisionner et le déprovisioning de ces entités conformément à la politique, explique Chau.
2. Priorisez une communication ouverte avec les partenaires
Il est important de se rappeler, dit Collins, que ces relations sont bidirectionnelles. Le maintien d'une bonne communication avec les partenaires est indispensable pour que, en cas d'incident, les Organizations touchées puissent rapidement prendre des mesures pour atténuer les risques.
« Une communication efficace est importante, non seulement pendant le processus d'onboarding, mais en général », déclare Collins « Lorsqu'un problème survient, nous devons avoir confiance que notre partenaire nous en informera au plus vite afin que nous puissions réagir et prendre des mesures correctives. »
En cas d'incident impliquant un tiers, les Organizations doivent établir une voie de communication ouverte avec le tiers afin de déterminer la cause profonde de l'incident et d'identifier les systèmes/actifs affectés ainsi que les notifications contractuelles, explique Chau. « À partir de là », poursuit-elle, « ils devraient effectuer une analyse d'impact basée sur les données, les systèmes et les produits qui sont affectés et leur impact potentiel sur l'entreprise. »
3. Élaborer un plan de résolution des incidents robuste pour les brèches de tiers.
Après avoir déterminé si l'incident est suffisamment contenu, les Organizations doivent identifier les activités de correction telles que la déconnexion de l'utilisation de produits tiers et le déploiement de solutions alternatives, et déterminer la nécessité d'une communication externe en fonction des exigences de notification des réglementations et des lois sur les brèches de données, explique Chau.
Après un incident, Organizations devraient effectuer une analyse des causes profondes, une nouvelle évaluation des risques tiers et une surveillance des performances. De plus, les parties prenantes internes devraient envisager d'apporter les ajustements nécessaires dans les SLA et les contrats, explique Chau.
« La véritable sécurité s'étend au-delà des murs d'Organizations », déclare Chau « La véritable résilience doit impliquer le maintien d'une sensibilisation continue aux risques posés par les fournisseurs tiers et être prêt à réagir avant qu'un incident ne se produise. »
Liste de contrôle : Priorités stratégiques pour votre programme de gestion des risques liés aux tiers (TPRM)
Inventoriez vos fournisseurs et comprenez les relations ainsi que les services/produits qu’ils fournissent.
Catégorisez les fournisseurs selon le risque. Comprenez les exigences individuelles en matière de sécurité et de conformité nécessaires pour chaque fournisseur et l'impact qu'un incident peut avoir sur vos opérations.
Déterminez le niveau d'accès dont le partenaire a besoin et appliquez le principe du moindre privilege.
Réévaluez périodiquement vos fournisseurs et leur conformité au SLA.
Pour plus d'informations sur la manière de bâtir une entreprise dotée de cyber-résilience, lisez From vulnerabilities to vendor trust: How CISOs build cyber resilience.
