Publicité

Publié le 02/04/2021 - Par Guillaume Trécan

Le risque cyber, angle mort de la relation fournisseur

Avec la crise, le risque cyber a explosé et pour hacker une entreprise, bien souvent les pirates passent par ses fournisseurs. Les experts en cyber sécurité invités de la Matinale Brapi (Benchmark des responsables achats de prestations intellectuelles) du 25 mars, ont fait l’inventaire des mesures à mettre en œuvre depuis la sélection des fournisseurs à leur pilotage.

En généralisant le télétravail, la crise a multiplié les échanges numériques, bouleversant du même coup les process et certains dogmes en matière de sécurité informatique. Les entreprises y ont gagné en agilité et les hackers malveillants ont vu s’ouvrir de nouveaux espaces à conquérir. Le nombre d’attaque par « rançongiciel » traitées par l’ANSSI a ainsi été multiplié par quatre entre 2019 et 2020, passant de 54 à 192. Dans ce recensement, 20 % de ces victimes étaient des collectivités locales et 11 % des établissements hospitaliers. Mais ces chiffres ne donnent qu’une vision officielle de la question… forcément en deçà de la réalité. Beaucoup d’entreprises préfèrent gérer discrètement ces problèmes pour ne pas entacher leur image, quitte à céder au chantage des rançonneurs pour récupérer leurs données.

Ce sujet concerne bien sûr les directions achats et pas seulement parce qu’elles sont la cible privilégiée d’« arnaques au président », ces manœuvres qui consistent à usurper l’identité du dirigeant d’un fournisseur pour détourner les paiements d’une prestation à son profit.


Inflation des polices d’assurance

Les acheteurs doivent pour commencer prendre en compte une conséquence collatérale à la multiplication des risques de hacking : l’inflation des polices d’assurance. « Entre mars et octobre 2020, le risque a été multiplié par sept ou huit. Cela s’est répercuté sur les polices d’assurance qui ont été multipliées par deux, voire par cinq ou six pour certaines entreprises ayant subi des dommages », analyse Fabien Rodes, fondateur de FASIS Consulting, qui invite son auditoire à la proactivité : « anticipez la renégociation de vos polices d’assurance. »

Plus globalement, les fournisseurs et sous-traitants sont bien souvent le cheval de Troie pour pirater le système d’information d’un donneur d’ordres. « Les cas de figure où l’intrusion se fait par l’intermédiaire d’un fournisseur ou d’un prestataire sont légion », constate Fabien Rodes, qui suggère aux acheteurs de porter une attention particulière aux ESN, cible privilégiée des pirates.


Partout où il y a de l’informatique il y a du risque

Mais en réalité, tout type de prestation sous-traitée peut servir de porte d’entrée pour les pirates. En effet, comme l’indique Alexandre Gudiol Muns, responsable sécurité des systèmes d’information au sein de l’Inspection Générale du groupe BNP Paribas, « Il y a de l’IT dans toutes les prestations, y compris dans les prestations non IT. Quelles que soient les prestations et il faut donc faire attention à toutes les données que l’on doit traiter. Certaines prestations qui peuvent paraître anodines cachent des sujets de cybersécurité : traducteurs, prestations d’avocat, télésurveillance, accueil… »

Pour mesurer la capacité du prestataire à assurer la sécurité de son système d’information et l’intégrité des données qui y sont traitées, la direction achats doit donc savoir poser les bonnes questions en amont. « Dès le début de la contractualisation, il faut savoir trouver le bon expert qui aura la vision du métier concerné et des risques inhérents à ce métier », conseille Alexandre Gudiol Muns. « Vous devez disposer d’une matrice de questions qui liste les exigences à imposer au prestataire pour être couvert contre le risque cyber ».


Des questionnaires fournisseurs synthétiques et adaptés

La base du questionnaire cybersécurité à soumettre aux candidats à un appel d’offres peut s’inspirer des lignes directrices proposées par le Nist américain (National Institute of Standards and Technology), mais il convient de le simplifier et de l’adapter aux cas de figure et au métier. Au sein du groupe BNP Paribas, Alexandre Gudiol Muns travaille avec la direction juridique à sur une shortlist d’une cinquantaine de questions essentielles. Elles portent sur l’accès, le chiffrement des données, les données personnelles, la sécurisation du réseau informatique, les mots de passe, l’organisation IT et la résilience (stockage des données, sauvegardes, tests, back up, etc.)

Poser la question est un bon début, mais encore faut-il se donner les moyens de challenger les réponses des fournisseurs. « Sur les questions importantes vous devez vous donner les moyens de ne pas vous contenter du déclaratif et de contrôler les réponses, sur les autres vous faites de l’acceptation de risque », reconnaît le RSSI.

Fabien Rodes rappelle de son côté que le contrat ne doit pas seulement prévenir le risque cyber, mais aussi prévoir le pire. « Dans les contrats doivent figurer un canal d’escalade pour contacter le fournisseur en cas de problème, un droit d’audit de la part du donneur d’ordres et un plan d’assurance sécurité », estime-t-il. Le fondateur de FASIS Consulting rappelle également les devoirs réglementaires des donneurs d’ordres en cas de problème : « en cas d’incident de sécurité, ils doivent notamment alerter la Cnil sous 36 heures maximum s’il concerne un fournisseur essentiel ou traitant des données à caractère personnel. »


Tester la résistance des fournisseurs

Pour évaluer la capacité de ses fournisseurs à faire face à un risque cyber, Fabien Rodes rappelle également qu’un acheteur peut se fonder sur quelques agréments et certifications : pour les entreprises la certification ISO27001 et l’agrément ANSSI ; pour les individus les certifications CISSP, ISO 27001 Lead Implémenter, Lead Auditor…

Une autre solution s’offre à eux pour tester la perméabilité de leur fournisseur aux attaques cyber : le Bug Bounty, un défi lancé à des communautés de hackers éthiques pour qu’ils dénichent les failles d’un système d’information donnée. Yasser Kazar a co-fondé la plateforme Yogosha regroupant une communauté de hackers éthiques certifiés et sélectionnés rémunérés en fonction des bogues trouvés et de leur criticité. « Des clients ont par exemple payé des programmes de Bug Bounty pour aider certains fournisseurs à consolider la sécurité de leur solution, explique Yasser Kazar, par exemple quand il s’agit d’une solution critique pour l’entreprise développée par une startup qui n’a pas les moyens de couvrir ce risque cyber. » Mais attention, qui dit hacking éthique, dit relations fournisseur responsables et le fondateur de Yogosha prévient : « cela ne peut évidemment pas se faire dans le dos du fournisseur. »


Publié le 02/04/2021 - Par Guillaume Trécan

Le dernier numéro

Dernier numéro

N°300 - Janvier 2021

Le catalogue

Le catalogue Silex

Retrouvez la revue en format tablette

Apple store Google Play