Le 4 octobre, le Pentagone découvre que les historiques de voyage de plus de 30 000 employés militaires et civils américains ont été divulgués par l’intermédiaire d’un fournisseur commercial qui gère les voyages de ses collaborateurs.
Nombreuses sont les entreprises victimes de failles de sécurité impliquant des parties externes. En France, on se souvient notamment de l’attaque de TV5 Monde, mais le signal d’Alarme (avec un grand « A ») a été lancé chez Universal Music Group (UMG) quand leur prestataire de cloud n’a pas pu protéger un de ses serveurs Apache Airflow exposant les informations d’identification du protocole de transfert de fichier (FTP) interne, les clés secrètes AWS et les mots de passe, ainsi que le mot de passe « root » interne et SQL.
Il n’est donc pas surprenant que ces violations constituent désormais les incidents les plus coûteux pour les entreprises et les PME. Ainsi, en 2018, l’impact moyen d’une faille de sécurité atteint 1,23M$ pour les grandes structures et 120K$ pour les PME, soit 36% de plus qu’en 2017 (88K$).
Comment s’en protéger ?
D’après une étude des Echos, 32% des menaces « internes » sont le fait de fournisseurs (contre 30% le fait d’employés). Bien sûr, cela ne signifie pas qu’ils sont à l’origine de la cyberattaque, mais plutôt qu’ils en sont les vecteurs.
Or le développement des entreprises les oriente de plus en plus vers des fournisseurs spécialisés, proposant des services adaptés aux besoins de leurs Métiers.
Pour se protéger de ce type de failles, les Acheteurs ont bien sûr un rôle à jouer et devraient se rapprocher du RSSI pour s’assurer de la fiabilité de leurs fournisseurs.
Par ailleurs, l’ANSSI prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Fournisseurs de service numérique (directive NIS). Ainsi, les Fournisseurs de service numérique devront :
Analyser les risques sur ses systèmes d’information
Prendre des mesures techniques et organisationnelles dans chacun des domaines suivants :
La sécurité des systèmes et des installations ;
La gestion des incidents ;
La gestion de la continuité des activités ;
Le suivi, l’audit et le contrôle ;
Le respect des normes internationales.
Déclarer tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent.
Être soumis à des contrôles de sécurité.
Bien que cette règlementation ne concerne pas l’ensemble de vos sous-traitants (place de marché en ligne, moteurs de recherche, cloud), il est possible de s’en inspirer pour intégrer la sécurité dans le choix d’un fournisseur.
Il vous est également possible de vous renseigner en demandant, par exemple, des référents ou des retours d’expériences de la part des clients ayant bénéficié de leurs services.
Loubna