Cybersécurité : quelles précautions prendre avec ses fournisseurs ?
Comment, en tant qu'entreprise, se protéger des failles de cybersécurité, en interne et chez ses sous-traitants ? Éléments de réponse tirés d'une matinale benchmark organisée par le Brapi (Benchmark des responsables achats de prestations intellectuelles).
Je m'abonneEn 2017, le ransomware Wannacry a fait des dégâts dans bon nombre de grandes entreprises dans le monde. Tout comme cette cyberattaque désormais célèbre, 90 % des intrusions réussies dans les systèmes d'information émanent de failles connues et disponibles sur Internet. Pour les contrer, antivirus et pare-feu ne suffisent pas, car l'essentiel du risque informatique demeure l'humain et les défauts de process (ordinateurs non mis à jour, correctifs de sécurité non appliqués). Pourtant, le ROI de la cybersécurité se calcule sur toutes les pertes induites, même les moins évidentes : perte de collaborateurs, vol de propriété intellectuelle, perte de contrats... Toutefois, il semblerait que les comex commencent à s'en emparer.
" La cybersécurité devient une métrique économique pour les entreprises. On assiste à un changement d'état d'esprit progressif des dirigeants qui considèrent de plus en plus la cybersécurité comme un avantage compétitif ", rassure Yassir Kazar, cofondateur de Yogosha, entreprise française spécialisée dans la mise en relation des entreprises avec des hackers éthiques. À titre d'exemple, lors du rachat de Yahoo par Verizon en début d'année, une attaque informatique sur Yahoo pendant l'IPO a compromis des données utilisateurs, poussant Yahoo à revoir sa valorisation à la baisse de 30 %. " Les pirates informatiques recherchent aussi la rentabilité, c'est-à-dire entrer dans des SI en faisant le moins d'efforts possible. L'idée de faire de la sensibilisation, de traiter l'humain, doit faire son chemin. Il faut changer de méthode ", prévient Maxime Alay-Eddine, dirigeant de Cyberwatch, entreprise spécialisée dans les tests d'intrusion et les solutions de gestion des vulnérabilités. En effet, la cybersécurité n'est pas que l'affaire des DSI. Les acheteurs ont un rôle à jouer en vérifiant notamment que les fournisseurs répondent à plusieurs obligations.
Imposer un management de la cybersécurité à ses fournisseurs
Les fournisseurs doivent donc montrer patte blanche. Dans les contrats conclus avec des sociétés d'infogérance, il y a des clauses de mises à jour en cas de failles avérées. En théorie, c'est donc couvert. Mais en pratique, la détection des vulnérabilités et l'application des correctifs prennent du temps à l'infogéreur et il est fréquent qu'une vulnérabilité soit oubliée. " Les grands comptes demandent à leur fournisseur de plus en plus régulièrement des attestations de tests d'intrusion ou des preuves de leur suivi des vulnérabilités ", explique Maxime Alay-Eddine.
Lire la suite en page 2 : La nouvelle responsabilité des fournisseurs imposée par le RGPD
Pour les prestataires SI, il est recommandé d'imposer la certification ISO 27001 (management de la sécurité de l'information). Celle-ci permet de créer une chaîne de qualité et d'amélioration continue, imposée aux fournisseurs. " C'est un process qui fonctionne bien sur un périmètre unique et bien défini, mais qui peut perdre de sa vertu quand elle est appliquée à toute l'entreprise, car son bienfait est alors dilué ", prévient Freddy Milesi, CEO de Sekoia, start-up spécialisée dans la prévention des cyber-risques.
Dans cette boîte à outils, les acheteurs peuvent aussi utiliser les attestations SOC2 (en cas de sous-traitance d'activités, elles permettent de vérifier qu'un contrôle interne IT a lieu), la clause d'audit (efficace quand elle porte sur le périmètre d'une prestation mais chère et contraignante dans la pratique car elle impose des déplacements), le reporting PSEE, la déclaration d'incidents de sécurité, une assurance cybersécurité, ou encore la mise au rebut et la destruction des médias (informations échangées avec les fournisseurs détruites au terme du contrat). Il peut être pertinent de mixer ces différentes approches.
En interne, les acheteurs doivent se rapprocher du RSSI ou des équipes sécurité, notamment pour définir conjointement les processus de sourcing et inclure les conditions dès les RFP, vérifier et valider les autoévaluations des fournisseurs.
La nouvelle responsabilité des fournisseurs imposée par le RGPD
Le RGPD impose de nouvelles exigences aux sous-traitants dans les relations à leurs clients. Auparavant, le responsable de la collecte des données était celui qui l'avait commanditée et le sous-traitant avait peu de responsabilité. Dorénavant, ce dernier est bien coresponsable en cas d'atteinte à la protection des données personnelles. La responsabilité des deux sera recherchée. Le sous-traitant devient seul responsable s'il outrepasse les instructions de l'entreprise commanditaire. S'il a respecté des instructions qui n'étaient pas conformes au RGPD, il a l'obligation d'alerter le responsable du traitement sur ce point. Un partage de responsabilités aura lieu en fonction du cas.
Les acheteurs vont désormais devoir vérifier contractuellement que le sous-traitant fournit des garanties techniques et organisationnelles suffisantes. Les contrats doivent comporter les clauses spécifiques suivantes :
- -le sous-traitant ne doit traiter les données que selon les instructions du responsable du traitement (e-mails, lettres, comptes rendus) et ne peut sous-traiter lui-même sans autorisation écrite ;
- -le sous-traitant doit s'assurer que son personnel est soumis à une obligation de confidentialité ;
- -il doit garantir une sécurité des données proportionnée, c'est-à-dire qu'il doit être conscient de la sensibilité des données qu'il traite et garantir une sécurité adaptée ;
...
- -il doit assister le responsable du traitement pour assurer la conformité aux obligations de sécurité et à l'évaluation de l'impact sur la vie privée (coresponsabilité) ;
- -il doit restituer au responsable ou effacer les données à l'issue du traitement ;
- -il doit tenir un registre écrit de toutes les catégories de traitements mises en oeuvre pour le compte de chaque responsable du traitement ;
- -il doit prendre des mesures pour s'assurer que les membres du personnel ayant accès aux données personnelles procèdent au traitement conformément aux instructions. Le sous-traitant est responsable de son personnel ;
- -il doit notifier toute violation de données personnelles au responsable du traitement, dès qu'il en a connaissance et sans délai ;
- -il doit désigner un DPD (délégué à la protection des données) dans des cas précis, y compris lorsque le traitement requiert un suivi régulier et systématique des personnes concernées à une grande échelle, ou que les données sont liées à des condamnations pénales et à des infractions.
Le suivi de la sécurité d'un fournisseur
Ce suivi doit être continu dans le temps, et se faire sur la base d'audits par lesquels les fournisseurs doivent, à intervalle régulier, justifier de l'évolution de leur niveau de sécurité et des mesures implémentées. Il peut être également opportun de prévoir des rendez-vous périodiques avec tous ses fournisseurs pour les tenir informés des enjeux métiers et menaces sectorielles.
Faites appel à des pirates éthiques !
Yogosha, c'est le bug bounty à la française ; la plateforme met en relation des entreprises avec des communautés de "hackers éthiques", rémunérés pour les failles de sécurité qu'ils détectent. Certains Gafa ont déjà lancé leur propre programme de bug bounty (littéralement, "prime pour faille") en interne. Chez Yogosha, les 200 chercheurs sourcés dans le monde entier sont sélectionnés à l'entrée et leur identité est systématiquement vérifiée. Une main-d'oeuvre d'autant plus salvatrice que l'ANSSI a relevé une pénurie de 75 % de ce type de profils en France. Par exemple, un grand compte ayant fait appel aux services de Yogosha pour tester une application mobile a vu remonter 40 failles en cinq jours, chacune facturée 500 euros. Une matrice permet d'évaluer leur coût en fonction de l'historique de l'entreprise, de sa perception du risque et du périmètre concerné (secteur d'activité). Le principe demeure celui de la place de marché, le client positionne le prix comme il le souhaite mais doit jouer le jeu au risque de ne pas attirer les talents. Le meilleur chercheur peut percevoir jusqu'à 50 000 euros annuels.