17 octobre 2022

Article
8 min

Les attaques de tiers sont un risque majeur de cybersécurité. Voici comment les prévenir :

Les organisations canadiennes sont tout aussi responsables de la protection de leurs données que les tierces parties avec lesquelles elles coopèrent. Elles devraient évaluer régulièrement les risques liés à leurs biens, menaces et vulnérabilités.

Expert CDW

Contenu
Fille tenant un iPad et souriant en position assise à côté d’un ordinateur.

Dans l’économie moderne, alimentée par le numérique et dépendante de la chaîne d’approvisionnement, il est inévitable de collaborer étroitement avec les fournisseurs, les partenaires et les clients.

En revanche, le risque pour vos données ne l’est pas.

D’après l’étude 2022 sur la sécurité de CDW Canada, les fournisseurs, les partenaires ou les clients de 72% d’organisations canadiennes ont accès à des renseignements personnels identifiables dans leur environnement informatique. Les organisations ayant fourni l’accès aux renseignements personnels identifiables à des tiers ont subi 31% de cyberattaques en plus en 12 mois que celles qui ne l’ont pas fait.

Les organisations canadiennes sont tout aussi responsables de la sécurité de leurs données que les tierces parties avec lesquelles elles travaillent, affirme Ivo Wiens, responsable des pratiques en matière de cybersécurité à CDW Canada. Elles devraient effectuer régulièrement des évaluations des risques liés à leurs actifs, à leurs menaces et à leurs vulnérabilités.

Pourquoi les évaluations des risques de menaces sont-elles essentielles pour prévenir les attaques de tiers?

« Le concept d’une évaluation des risques de menaces, bien qu’il semble un énorme engagement pour les entreprises, est ce que nous effectuons chaque jour lorsque nous franchissons la porte », dit Wiens. « Il ne faut pas le voir comme une activité complexe à laquelle il faut toujours penser, mais comme un composant de la vie quotidienne. Lorsque vous menez des affaires, vous devez identifier régulièrement vos menaces, connaître vos vulnérabilités et calculer la valeur de vos actifs. »

D’après Wiens, bien que ces évaluations puissent être effectuées en interne, il est préférable qu’elles le soient par un tiers, qui peut vérifier la préparation d’une entreprise en matière de cybersécurité pour les fournisseurs, les partenaires et les clients, qui doivent toujours effectuer leurs propres évaluations en continu.

« Avec une évaluation des risques de menaces, vous comprenez vraiment ce que l’entreprise définit comme étant le risque », dit Wiens. « Elle se traduit également mieux par chaque partie de l’entreprise : des facteurs comme les vulnérabilités, les contrôles techniques, les pare-feux, les points d’extrémité, ne sont pas compris par le PDG, le directeur financier ou le directeur de l’informatique comme le mot « risque ». C’est un excellent moyen pour les professionnels de la cybersécurité non seulement de comprendre le contexte de la sécurité, mais aussi leur propre entreprise et de s’assurer que la direction choisie est comprise par leurs supérieurs hiérarchiques. »

Comment un modèle de responsabilité partagée peut-il empêcher les attaques de tiers?

En tant que conseiller en cybersécurité auprès de CDW Canada, Mitch Kelsey a appris que trop peu d’entreprises sont au courant des risques de cybersécurité présentés par des tiers, puisqu’ils présument souvent que, du point de vue d’une infrastructure ou d’un service, ils et tous les fournisseurs avec lesquels travaillent sont en sécurité.

« Les organisations qui comptent sur des services infonuagiques ou d’autres tiers pour fournir des infrastructures ou des services, qui, par nature, ouvrent leur réseau à d’autres personnes en dehors de leur organisation », déclare Kelsey. « Il y a de nombreux avantages comme une agilité améliorée, mais il faut aussi que les pratiques d’affaires et de sécurité de chacun soient sur la même longueur d’onde. C’est là que se situent les défis. »

Wiens et Kelsey recommandent aux organisations et à leurs partenaires de s’assurer qu’elles suivent un modèle de responsabilité partagée, dans lequel chaque partie accepte son rôle dans la relation d’affaires, y compris les renseignements dont elles ont besoin.

« Le modèle de responsabilité partagée n’était pas un grand sujet de conversation avant le nuage », affirme Wiens. « Mais maintenant que tant d’organisations ont des fournisseurs de services infonuagiques indépendants qui cherchent à obtenir leurs renseignements, les deux parties doivent savoir qui est propriétaire du risque. »

Ainsi, d’après Kelsey, bien que la majorité des violations du nuage public impliquent des erreurs de configuration des utilisateurs, les organisations compromises comprennent souvent mal où se situe la responsabilité. Dans le cadre d’un modèle de responsabilité partagée, le fournisseur et le consommateur du nuage ont tous deux un rôle à jouer. Il est important de comprendre où se situe cette délimitation pour savoir ce dont vous êtes responsable.

« Les organisations doivent faire preuve de diligence raisonnable lorsqu’elles s’occupent de la sécurité de leurs partenaires », affirme Kelsey. « Tous les partenaires ne sont pas égaux et leurs besoins ne le sont pas non plus. Il est important de réfléchir aux risques associés à la relation que vous développez avec un partenaire, qu’il s’agisse d’installer un produit dans un environnement qu’il a conçu pour vous ou d’avoir un fournisseur de services sur votre site et de recevoir l’accès à votre réseau. »

Comme son nom l’indique, un modèle de responsabilité partagée exige des pratiques rigoureuses de cybersécurité des deux côtés. Or d’après Kelsey, de nombreuses organisations peinent à le mettre en œuvre.

« C’est pourquoi les organisations de soins de santé, les fournisseurs de services financiers et les organismes gouvernementaux doivent de plus en plus démontrer qu’ils ont fait leur diligence raisonnable lorsqu’ils adoptent une nouvelle technologie », dit-il. « Ils doivent comprendre l’impact sur la sécurité et la confidentialité des clients et des travailleurs, l’impact sur leurs services informatiques avant de prendre des décisions. »

Importance des tests d’intrusion dans la prévention des attaques tierces

L’une des raisons clés pour lesquelles le modèle de responsabilité partagée est si précieux, selon Kelsey, est qu’il fournit aux organisations une base pour les pratiques de cybersécurité : En connaissant leurs droits et leurs responsabilités, les organisations peuvent obtenir les renseignements appropriés de la part des gens avec qui elles font affaire et prendre des décisions éclairées et fondées sur le risque.

« Il y a un principe de sécurité du moindre privilège », indique-t-il. « Quel est le minimum de renseignements que nous devons fournir à quelqu’un pour qu’il puisse faire le travail escompté? Ce principe doit être appliqué aux fournisseurs et aux partenaires. Quelles capacités offrent-ils? De quoi ont-ils besoin pour offrir ces capacités et comment pouvons-nous nous assurer de limiter notre risque? »

Plus important encore, les organisations doivent connaître les renseignements auxquels les parties peuvent accéder sur leur réseau. Pour le savoir, elles ont recours aux tests d’intrusion du réseau, des applications Web et des API de chaque partie, et aux évaluations d’ingénierie sociale. Ainsi, elle peuvent tester comment les employés réagissent aux menaces courantes comme les attaques d’hameçonnage.

« Vous devez savoir ce que vous partagez avec d’autres pour prendre des décisions d’affaires en fonction de l’accès et des besoins de chaque partie, car cela sera différent selon ce que chaque partie fait pour les clients, les employés et les autres parties prenantes », explique Kelsey. « Lorsque nous parlons aux organisations au sujet des tests d’intrusion, il arrive parfois qu’un élément d’infrastructure ou de logiciel soit hébergé par un partenaire de fournisseur. Par conséquent, une partie de la question nous permet de nous assurer qu’ils nous demandent de valider de façon indépendante leurs normes de sécurité ou d’en faire la démonstration sous forme de rapport ou de certification. »

« Les clients hésitent souvent à demander une démonstration parce qu’ils considèrent qu’il s’agit d’une violation de la vie privée, mais vous devriez demander avec confiance car ils demandent d’accéder à des renseignements sensibles sur vos employés ou vos clients », poursuit-il.

Enfin, il est important que les organisations effectuent plusieurs vérifications au fil du temps, indique Kelsey. Après tout, les partenaires fournisseurs changent et les risques associés au fil du temps évoluent aussi.

Le bon partenaire peut vous prémunir contre les attaques de tiers

Wiens et Kelsey préconisent des évaluations des risques de tiers pour des raisons similaires.

« J’encourage toujours les organisations à s’auto-évaluer », dit Wiens. « Mais une fois cette étape franchie, demandez toujours à un tiers. Il est préférable qu’une analyse de la sécurité soit aux mains d’un tiers. Ainsi, vous savez que les avis reçus sont objectifs. »

Bien que CDW soit un tiers, les organisations soucieuses de la sécurité peuvent être assurées que nos experts sont aussi rigoureux avec leurs propres pratiques de cybersécurité qu’ils encouragent les clients et leurs employés à l’être, indique Kelsey. Plus important encore, en tant que partie indépendante, CDW est le mieux positionné pour évaluer les pratiques de cybersécurité d’une organisation et de ses partenaires et recommander des améliorations.

« Notre responsabilité consiste à identifier les meilleures pratiques pour les clients en fonction de leurs besoins et du risque pour les actifs qu’ils protègent », explique Kelsey. « Si une organisation nous demande des recommandations technologiques, nous veillerons à ce qu’elles disposent de stratégies de cybersécurité qui s’harmonisent également avec ces besoins. »