Gestion des cyberrisques organisationnels liés aux tiers

De nos jours, les risques liés à la cybersécurité ne sont plus un secret pour personne. De par les nombreux systèmes d’information qui recueillent et stockent de grandes quantités de données sensibles, de même que les systèmes intelligents ou connectés à Internet qui permettent d’améliorer efficacité et rendement, votre organisation est confrontée à de nouveaux risques qui nécessitent votre attention.

Nous savons que les incidents de cybersécurité causent des préjudices sur le plan financier et juridique, en plus de nuire à la réputation. Par conséquent, les conseils et équipes de gestion ont intégré la cybersécurité à leur programme. Malgré ces mesures, les risques ne cessent de croître.

Augmentation des risques : Fournisseurs tiers

Le nombre de fournisseurs tiers qui, dans de nombreux cas, approvisionnent votre organisation en produits et en services spécialisés a également augmenté avec le temps. Il existe aujourd’hui de nombreux fournisseurs tiers, notamment des centres d’appels, des fournisseurs de services de commerce électronique, des agences de recouvrement, des fournisseurs de solutions logicielles ou de technologies de l’information (TI) externalisées ou des services de déchiquetage de documents. Ces fournisseurs peuvent eux-mêmes avoir recours à d’autres fournisseurs qui, à leur tour, font de même, donnant ainsi naissance à un « énième tiers ».

Puisque ces fournisseurs ont habituellement accès, d’une façon ou d’une autre, à l’information ou au réseau de votre organisation, ils pourraient également accéder à vos systèmes de TI et de technologie opérationnelle (TO), à vos logiciels et applications, ou même à vos données les plus sensibles. Ils sont nombreux à peut-être se connecter à vos systèmes et recueillir, regrouper ou stocker ces données. Ils contribuent à la chaîne d’approvisionnement ou de valeur de votre organisation, mais amplifient également votre exposition au risque.

Un grand nombre de menaces qui planent au-dessus des organisations proviennent de ces fournisseurs tiers ou « énièmes tiers ». La multiplication des points d’accès par l’entremise des fournisseurs décuple les maillons faibles de la chaîne de valeur, et c’est exactement ce que les malfaiteurs recherchent. Que ce soit par l’intermédiaire de votre réseau ou d’un lien élargi avec un fournisseur, les cyberpirates peuvent trouver un point d’entrée et vous causer des préjudices. À l’ère de la perturbation numérique, les fournisseurs tiers ont tendance à être plus petits et plus souples. Certains d’entre eux ne possèdent tout de même pas le même niveau de préparation et de protection, et deviennent ainsi des cibles faciles. Il importe donc de mettre en place un programme fiable de gestion des risques liés aux tiers afin d’atténuer ces risques et d’améliorer les résultats de votre organisation.

Un fournisseur avait accès au réseau de Target, mais puisque l’entreprise ne disposait pas d’un accès suffisamment sécuritaire, les auteurs de la menace ont trouvé un moyen de pénétrer dans l’environnement et d’accéder aux renseignements relatifs aux cartes de paiement. La perte subie par l’entreprise à la suite de cet incident s’élèverait à près de 300 millions de dollars américains.

Plus récemment, certains incidents impliquant des fournisseurs tiers ont également été rapportés dans les médias concernant entre autres des entreprises de technologie bien connues. Un autre incident survenu impliquait des pirates informatiques ayant accédé aux répertoires des finances et de la paie d’une grande organisation connue en identifiant un maillon faible dans la chaîne d’approvisionnement, puis en téléchargeant les dossiers dans le nuage informatique.

Si des organisations à la fine pointe de la technologie peuvent avoir, par l’entremise de leurs fournisseurs, des maillons faibles facilement exploitables, il en est certainement de même pour d’autres organisations. À ce jour, la question n’est pas de savoir si les auteurs de menaces vont attaquer une organisation ou non, mais à quel moment ils vont le faire?

C’est votre degré de préparation ainsi que les efforts et les sommes d’argent que les malfaiteurs devront consacrer pour arriver à leurs fins qui détermineront dans quelle mesure vous dissuaderez de telles attaques ou, du moins, en réduirez l’incidence.

Gestion de vos risques : Élaboration de programmes de gestion des risques liés aux tiers

Si nous abordons certains de ces risques et présentons des exemples concrets, c’est surtout pour démontrer qu’il est impossible d’éliminer toutes les menaces. D’une organisation à l’autre, la question n’est plus de savoir si, mais plutôt quand une menace surviendra en raison de la présence d’un maillon faible à l’interne ou dans la chaîne de valeur. Il importe donc de minimiser les écueils au moyen de programmes fiables de gestion des risques liés aux tiers (GRLT), sans pour autant alourdir les programmes.

L’objectif principal d’un programme de GRLT s’apparente à celui du vaccin contre la COVID-19. Il n’élimine peut-être pas complètement les risques, mais il réduit considérablement la possibilité de développer une maladie grave ou de subir des inconvénients importants.

Dans le cas de la GRLT, un programme fiable n’empêchera pas entièrement une atteinte, mais il réduira les répercussions extrêmes que l’organisation pourrait subir.

Que vos intentions de déployer un programme de GRLT soient motivées par les exigences réglementaires, le besoin de réduire les risques, ou les deux, vous trouverez ci-dessous une approche de base par étapes :

1. Élaborer le cadre d’évaluationque vous utiliserez. Cette mesure comprend :
   1. Les exigences réglementaires, dont celles du Bureau du surintendant des institutions financières (BSIF) et de la PCI, soit l’industrie des cartes de paiement
   2. Les normes ou les politiques auxquelles vous tentez de vous conformer, comme la norme ISO 27001/2
   3. Les critères d’évaluation externes, comme les exigences de la contraction ou l’incidence sur la réputation
   4. Les « joyaux de la couronne » de votre organisation dont la protection représente une priorité
2. Organiser des ateliers avec les intervenants de l’entreprise pour identifier vos fournisseurs de services tiers
3. Élaborer des modèles de rapport pour assurer l’uniformité de l’évaluation des fournisseurs
4. Déterminer et recommander l’utilisation d’outilsà tous les niveaux, comme des outils d’évaluation de la cybersécurité de tiers axés sur le risque pour mieux quantifier le risque.
5. Passer en revue votre programme en collaboration avec les intervenants appropriés, et apporter les modifications nécessaires au besoin.
6. Effectuer des évaluations des risques liés aux tiers en fonction des niveaux de risque que représentent les fournisseurs (élevés, moyens et faibles); ceux dont le risque est plus élevé nécessitent une évaluation plus approfondie et plus fréquente
7. Recueillir des renseignements auprès des fournisseurs
   1. Informer et vos fournisseurs et discutez-en avec eux, puisqu’une communication ouverte et une meilleure compréhension peuvent favoriser la coopération
   2. Réaliser un plan d’évaluation de vos fournisseurs tiers au moyen de questionnaires ou d’outils de gestion passive des risques
   3. Recueillir de l’information auprès des fournisseurs au moyen d’une approche adaptative et souple, comprenant autoévaluations, questions de clarification, collecte d’éléments probants et, au besoin, examens supplémentaires
8. Analyser les résultats obtenus des fournisseurs, repérer les lacunes, évaluer leur situation et essayer d’apporter des améliorations au besoin.

Compte tenu de l’évolution rapide de la cybersécurité et des risques liés aux tiers auxquels votre organisation est confrontée, il est important de considérer votre programme de GRLT comme un marathon, et non comme un sprint. Il est préférable de commencer immédiatement, et de s’adapter continuellement, tout en planifiant à long terme, plutôt que d’en faire un exercice ponctuel intensif.

Pour en savoir plus sur la façon dont vous pouvez réduire les risques liés à vos fournisseurs tiers, n’hésitez pas à communiquer avec nous pour obtenir une évaluation gratuite, et nous serons en mesure de vous aider à tracer la voie à suivre. Communiquez avec notre équipe dès aujourd’hui.

Auteur : Eugene Ng

Eugene Ng, CISSP, est leader, Cybersécurité chez MNP pour la région de l’Est du Canada. Membre de l’équipe Gestion des risques d’entreprise, Eugene travaille à identifier les technologies, les produits et les services de sécurité offrant un avantage concurrentiel aux clients.