Cybersécurité: quelles précautions prendre avec ses fournisseurs ?
Comment, en tant qu'entreprise, se protéger des failles de cybersécurité, en interne et chez ses sous-traitants ? Éléments de réponse tirés de la matinale benchmark du Brapi (Benchmark des responsables achats de prestations intellectuelles) organisée le 3 octobre dernier.
En 2017, le ransomware Wannacry a fait des dégâts dans bon nombre de grandes entreprises dans le monde. Tout comme cette cyberattaque désormais célèbre, 90% des intrusions réussies dans les systèmes d'informations émanent de failles connues et disponibles sur Internet. Pour les contrer, antivirus et pare-feu ne suffisent pas car l'essentiel du risque informatique demeure l'humain et les défauts de process (ordinateurs non mis à jour, correctifs de sécurité non appliqués). Pourtant, le ROI de la cybersécurité se calcule sur toutes les pertes induites, même les moins évidentes : perte de collaborateurs, vol de propriété intellectuelle, perte de contrats... Toutefois, il semblerait que les comex commencent à s'en emparer.
"La cybersécurité devient une métrique économique pour les entreprises, on assiste à un changement d'état d'esprit progressif des dirigeants qui considèrent de plus en plus la cybersécurité comme un avantage compétitif", rassure Yassir Kazar, cofondateur de Yogosha, entreprise française spécialisée dans la mise en relation des entreprises avec des hackers éthiques. A titre d'exemple, lors du rachat de Yahoo par Verizon en début d'année, une attaque informatique sur Yahoo pendant l'IPO a compromis des données utilisateurs, poussant Yahoo à revoir sa valorisation à la baisse de 30%. "Les pirates informatiques recherchent aussi la rentabilité, c'est-à-dire entrer dans des SI en faisant le moins d'efforts possible. L'idée de faire de la sensibilisation, de traiter l'humain, doit faire son chemin. Il faut changer de méthode", prévient Maxime Alay-Eddine, dirigeant de Cyberwatch, entreprise spécialisée dans les tests d'intrusion et les solutions de gestion des vulnérabilités. En effet, la cybersécurité n'est pas que l'affaire des DSI. Les acheteurs ont un rôle à jouer en vérifiant notamment que les fournisseurs répondent à plusieurs obligations.
Imposer un management de la cybersécurité à ses fournisseurs
Les fournisseurs aussi doivent montrer patte blanche. Dans les contrats conclus avec des sociétés d'infogérance, il y a des clauses de mises à jour en cas de failles avérées. En théorie c'est donc couvert. Mais en pratique, la détection des vulnérabilités et l'application des correctifs prennent du temps à l'infogéreur et il est fréquent qu'une vulnérabilité soit oubliée. "Les grands comptes demandent à leur fournisseur de plus en plus régulièrement des attestations de tests d'intrusion ou des preuves de leur suivi des vulnérabilités", explique Maxime Alay-Eddine.
Pour les prestataires SI, il est recommandé d'imposer la certification ISO 27001 (management de la sécurité de l'information). Celle-ci permet de créer une chaîne de qualité et d'amélioration continue, imposée aux fournisseurs. "C'est un process qui fonctionne bien sur un périmètre unique et bien défini, mais qui peut perdre de sa vertu quand elle est appliquée à toute l'entreprise, car son bienfait est alors dilué", prévient Freddy Milesi, CEO de Sekoia, start-up spécialisée dans la prévention des cyber-risques.
Dans cette boîte à outils, les acheteurs peuvent aussi utiliser les attestations SOC2 (en cas de sous-traitance d'activités, elles permettent de vérifier qu'un contrôle interne IT a lieu), la clause d'audit (efficace quand elle porte sur le périmètre d'une prestation mais chère et contraignante dans la pratique car elle impose des déplacements), le reporting PSEE, la déclaration d'incidents de sécurité, une assurance cybersécurité, ou encore la mise au rebut et la destruction des médias (informations échangées avec les fournisseurs détruites au terme du contrat). Il peut être pertinent de mixer ces différentes approches.
En interne, les acheteurs doivent se rapprocher du RSSI ou des équipes sécurité, notamment pour définir conjointement les processus de sourcing et inclure les conditions dès les RFP, vérifier et valider les auto-évaluations des fournisseurs.
Lire la suite en page 2 : La nouvelle responsabilité des fournisseurs imposée par le RGPD
Sur le même thème
Voir tous les articles Risques