Cybersécurité : quelles précautions prendre avec ses fournisseurs ?
Comment, en tant qu'entreprise, se protéger des failles de cybersécurité, en interne et chez ses sous-traitants ? Éléments de réponse tirés d'une matinale benchmark organisée par le Brapi (Benchmark des responsables achats de prestations intellectuelles).
En 2017, le ransomware Wannacry a fait des dégâts dans bon nombre de grandes entreprises dans le monde. Tout comme cette cyberattaque désormais célèbre, 90 % des intrusions réussies dans les systèmes d'information émanent de failles connues et disponibles sur Internet. Pour les contrer, antivirus et pare-feu ne suffisent pas, car l'essentiel du risque informatique demeure l'humain et les défauts de process (ordinateurs non mis à jour, correctifs de sécurité non appliqués). Pourtant, le ROI de la cybersécurité se calcule sur toutes les pertes induites, même les moins évidentes : perte de collaborateurs, vol de propriété intellectuelle, perte de contrats... Toutefois, il semblerait que les comex commencent à s'en emparer.
" La cybersécurité devient une métrique économique pour les entreprises. On assiste à un changement d'état d'esprit progressif des dirigeants qui considèrent de plus en plus la cybersécurité comme un avantage compétitif ", rassure Yassir Kazar, cofondateur de Yogosha, entreprise française spécialisée dans la mise en relation des entreprises avec des hackers éthiques. À titre d'exemple, lors du rachat de Yahoo par Verizon en début d'année, une attaque informatique sur Yahoo pendant l'IPO a compromis des données utilisateurs, poussant Yahoo à revoir sa valorisation à la baisse de 30 %. " Les pirates informatiques recherchent aussi la rentabilité, c'est-à-dire entrer dans des SI en faisant le moins d'efforts possible. L'idée de faire de la sensibilisation, de traiter l'humain, doit faire son chemin. Il faut changer de méthode ", prévient Maxime Alay-Eddine, dirigeant de Cyberwatch, entreprise spécialisée dans les tests d'intrusion et les solutions de gestion des vulnérabilités. En effet, la cybersécurité n'est pas que l'affaire des DSI. Les acheteurs ont un rôle à jouer en vérifiant notamment que les fournisseurs répondent à plusieurs obligations.
Imposer un management de la cybersécurité à ses fournisseurs
Les fournisseurs doivent donc montrer patte blanche. Dans les contrats conclus avec des sociétés d'infogérance, il y a des clauses de mises à jour en cas de failles avérées. En théorie, c'est donc couvert. Mais en pratique, la détection des vulnérabilités et l'application des correctifs prennent du temps à l'infogéreur et il est fréquent qu'une vulnérabilité soit oubliée. " Les grands comptes demandent à leur fournisseur de plus en plus régulièrement des attestations de tests d'intrusion ou des preuves de leur suivi des vulnérabilités ", explique Maxime Alay-Eddine.
Lire la suite en page 2 : La nouvelle responsabilité des fournisseurs imposée par le RGPD
Sur le même thème
Voir tous les articles Risques