La gestion des tiers, un enjeu sous-estimé par les entreprises ?

Co-écrit par Guillaume Plaquet et Sarah Tedeschi.

La digitalisation de l’activité économique entraine une exposition de plus en plus importante des entreprises aux risques de cyber sécurité. Si les entreprises se sont aujourd’hui focalisées sur la mise en place de dispositifs internes venant contrer ces menaces, de nouvelles brèches de sécurité sont apparues suite à l’évolution de l’environnement économique.

Les organisations recourent aujourd’hui de plus en plus à l’intermédiation dans le développement de leur activité, afin de profiter des opportunités qui en découlent. Toutefois, cette situation est génératrice de risques dont les entreprises doivent encore se saisir.

Un contexte en évolution

Les tiers représentent un point de défaillance critique en cybersécurité puisque ceux-ci correspondent à des interlocuteurs externes ayant accès à des données sensibles de l’organisation. Les entreprises ont aujourd’hui mis l’accent sur la sécurisation de leur propre environnement vis-à-vis de ces menaces et n’ont pas encore pleinement pris en compte les problématiques induites par leur interaction avec des tiers.

Jusqu’à ce jour, les RSSI n’avaient pas les ressources suffisantes pour appréhender les relations avec les tiers dans leur ensemble dans la mesure où de plus en plus d’outils sont utilisés de manière professionnelle en dehors de toute relation contractuelle (shadow IT). Toutefois, les enjeux de la gestion des tiers n’ont, pour leur part, pas cessé de croitre. La prise de conscience de cette évolution s’est faite au travers de l’évolution des réglementations qui imposent aux entreprises de prendre en compte la maturité de leurs interlocuteurs en matière de cybersécurité (RGPD, ISO 27001, LPM, directive NIS, etc). Toutefois, l’entrée en vigueur récente de certains de ces textes induit des incertitudes quant à l’interprétation de leurs dispositions, notamment en ce qui concerne les cas de coresponsabilité entre une organisation et les tiers intervenants pour son compte.

Ainsi, l’implication de nombreuses tierces parties dans l’activité de l’entreprise souligne la nécessité pour les organisations de construire un programme de gestion des relations aux tiers efficace, afin d’acquérir une bonne connaissance du contexte de leurs interlocuteurs et de leurs problématiques cyber.

Des risques cyber majeurs pour les entreprises

Les problématiques de cybersécurité liées à la gestion des tiers se matérialisent aujourd’hui par une augmentation des incidents dans ce domaine. Les difficultés rencontrées correspondent notamment à la fuite de données et à l’interruption du service fourni à la clientèle, ce qui transparait dans l’actualité :

  • Fuite de données
    • En 2013, Target a fait l’objet d’une fuite de données massive touchant des millions de consommateurs. Cette brèche de sécurité a eu un impact de 250 millions de dollars sur le chiffre d’affaire de l’entreprise.
    • En 2016, des données confidentielles de l’entreprise Naval Group relatives aux sous-marins Scorpène ont fait l’objet d’une fuite provenant d’un sous-traitant, ce qui a considérablement affecté la réputation du groupe.
    • En 2018, un sous-traitant de la Commonwealth Bank, un groupe bancaire australien majeur, a égaré des périphériques de stockage contenant les données bancaires de 12 millions de clients. Cet incident a eu un fort impact sur la réputation du groupe bancaire du fait de la haute sensibilité des informations égarées.
  • Interruption de service
    • En 2016, l’entreprise Dyn a fait l’objet d’une attaque par déni de service, qui a eu pour conséquence l’indisponibilité des sites internet utilisant ses services.

Les risques touchent tout type d’organisation et peuvent provenir de multiples sources. Ces questions sont particulièrement critiques dans certains domaines sensibles (banque, défense, etc.), où les intermédiaires doivent assurer un niveau de sécurité optimal du fait de la sensibilité de leur intervention. Les conséquences d’une fuite de données peuvent être de plusieurs ordres puisque celles-ci pourront impacter le chiffre d’affaire de l’entreprise, remettre en question sa conformité avec les dispositions en vigueur et venir entacher sa réputation.

Par conséquent, les entreprises doivent améliorer leur connaissance de l’environnement des tiers avec lesquels elles collaborent. Afin de les assister dans cette tâche, Beijaflore propose un framework permettant à ses clients d’établir des exigences en matière de cybersécurité et de les transposer dans des clauses intégrées au contrat passé avec les tiers, afin d’assurer une protection optimale de leurs intérêts. Le respect de ces exigences devra également faire l’objet d’un suivi, dans le but d’attester du maintien d’un niveau de sécurité suffisant chez les tierces parties.