Cybersécurité : comment évaluer et agir sur le risque tiers ?

Cybersécurité et chaîne d’approvisionnement : évaluer le risque tiers pour éviter les risques

Avec la diversification et l’extension des chaînes d’approvisionnement, les failles cybernétiques se multiplient, notamment du côté des tiers les moins équipés et/ou les moins matures sur les sujets de la cybersécurité.

Quel est l’état des lieux du risque tiers en la matière ? Comment se présente une cyberattaque par la voie d’un tiers ? Et comment sécuriser un écosystème où les partenaires et fournisseurs sont des vecteurs de menaces ? Décryptage…

La diversification des tiers ouvre autant d’opportunités que de brèches

La recrudescence des cyberattaques visant les chaînes d’approvisionnement s’explique logiquement par la transformation digitale des entreprises. Mais au-delà de leur nombre, c’est leur gravité et leur impact sur la performance qui retiennent l’attention.

Il faut dire que la diversification progressive des partenaires de l’entreprise et l’hétérogénéité des acteurs de son écosystème ouvrent autant d’opportunités business que de brèches sur le plan de la cybersécurité.

Selon une étude réalisée par la startup française Board of Cyber, une cyberattaque qui cible une entreprise peut impacter 150 autres structures par un effet domino… et les décideurs ont bien conscience du problème, dans la mesure où 90 % se disent préoccupés par le risque de subir une cyberattaque indirecte via un tiers de l’écosystème. Dans le détail :

·       49 % des décideurs sondés jugent que le risque cybernétique tiers est « très élevé » ;

·       41 % estiment qu’il est « élevé ».

Paradoxalement, seul un conseil d’administration sur deux (48 %) affirme suivre ce risque de près. La pression réglementaire, notamment avec la récente entrée en vigueur des normes NIS 2 (voir notre article sur le passage de NIS à NIS 2) et DORA (on en parle ici), devrait sans doute pousser le top management à mieux se saisir de cette problématique.

Les décideurs épinglent le manque de maturité de leurs tiers en matière de cybersécurité

Les conséquences d’une cyberattaque directe ou par le biais d’un tiers sont importantes, car tout incident peut nuire à la pérennité de l’entreprise :

·       En France, le coût global médian d’une cyberattaque est de 50 000 €, selon le Baromètre de la cybersécurité en entreprise ;

·       Ce coût englobe l’interruption de l’activité, la détérioration du matériel informatique, la fuite des données et l’impact sur l’image de l’entreprise (mais n’inclut pas les pénalités éventuelles, telles que prévues par le RGPD par exemple) ;

·       Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) estime à 27 % la perte de chiffre d’affaires moyenne en France suite à une cyberattaque. Pire : 60 % des PME attaquées ne se relèvent pas et déposent le bilan dans les 18 mois suivant l’attaque ;

·       47 % des télétravailleurs français se sont déjà fait piéger par une attaque de type « phishing » (ou hameçonnage).

Si les décideurs sont conscients des risques encourus, pourquoi n’agissent-ils pas à la hauteur de l’enjeu ? Interrogés par le Board of Cyber, ils épinglent :

• Le manque de temps face à une charge de travail lourde et coûteuse ;
• La difficulté à faire adhérer leurs fournisseurs aux mesures de cybersécurité ;
• Un déficit de cyber-maturité chez leurs tiers ;
• Le besoin d’un effort de formation et de pédagogie très important de la part du donneur d’ordres envers ses tiers.

L’étude a par ailleurs investigué les méthodes et outils utilisés par les entreprises pour gérer le risque tiers lié à la cybersécurité. Verdict : l’écrasante majorité des entreprises qui le gèrent s’appuient sur un plan de sécurisation plus ou moins formel, des mesures d’audit et une analyse des risques. Les décideurs sondés expriment toutefois une certaine insatisfaction sur leurs process en la matière et souhaiteraient voir émerger de nouvelles solutions.

« L'augmentation des risques géopolitiques et leurs conséquences économiques doivent amener les organisations à prioriser la gestion des risques cybernétiques. Concernant les risques tiers, une approche globale et holistique s'impose. Cette étude révèle que les entreprises aspirent à rationaliser et à automatiser pour pallier le manque de temps et de moyens et compenser le degré de maturité très inégal de leurs sous-traitants en matière de cybersécurité », résume Luc Declerck, Directeur général du Board of Cyber.

Exemple : comment une entreprise peut-elle subir une cyberattaque indirecte (tiers) ?

AlphaTech, entreprise (fictive) de taille moyenne spécialisée dans les logiciels de gestion, utilise régulièrement les services d'un prestataire externe, Beta Services, pour la maintenance et le support informatique.

Beta Services a été victime d'une cyberattaque. Les pirates ont réussi à installer un logiciel malveillant dans le système de gestion des tickets de Beta Services, exploitant une vulnérabilité non patchée. Lorsque les employés d'AlphaTech ont envoyé des demandes de support à Beta Services, ils ont reçu en réponse des emails contenant des pièces jointes infectées.

Un employé d'AlphaTech ouvre une pièce jointe malveillante, ce qui déclenche l'installation d'un ransomware dans le réseau d'AlphaTech. Ce ransomware chiffre les données sensibles de l'entreprise, notamment ses bases de données clients et ses codes source.

Les conséquences sont graves :

• Arrêt des opérations : AlphaTech doit suspendre ses opérations pendant plusieurs jours pour gérer la crise, entraînant une perte de revenu estimée à 500 000 euros ;
• Coûts de récupération : la restauration des données et la remise en état des systèmes coûtent environ 200 000 euros, avec notamment le recours à des experts en cybersécurité ;
• Perte de données : malgré les efforts de récupération, certaines données critiques sont perdues de manière irréversible, affectant les relations avec les clients et les projets en cours ;
• Atteinte à la réputation : la confiance des clients est ébranlée, avec une perte de CA estimée à 10 % ;
• Coûts de conformité et amendes : AlphaTech fait face à des amendes pour non-conformité avec les réglementations de protection des données s'élevant à environ 100 000 euros.

Au total, l'attaque (par tiers) coûte à AlphaTech plus de 800 000 euros, sans compter les dommages à long terme sur sa réputation.Top of Form

Provigis : évaluez et gérez les risques cyber de vos tiers

Provigis outille les DSI, les DPO d’organismes publics et privés et les dirigeants de PME et ETI pour évaluer leurs tiers en matière de cybersécurité et de conformité au RPGD. En tant que Tiers de Collecte Probatoire (TCP), nous vous proposons une solution tout-en-un pour sécuriser les relations avec vos tiers à travers :

• La collecte et l’authentification des documents, certifications et labels ;
• L’administration de questionnaires ;
• La e-signature ;
•   Des statistiques, rapports et indicateurs de performance ;
• Des pistes d’audit ;
• Le score sur les risques cyber de votre organisation, en partenariat avec Security Scorecard ;
• Le screening état cyber des tiers en temps réel ;
• Un plan et un accompagnement à la remédiation, etc.

Vous souhaitez sécuriser votre écosystème en matière de cybersécurité, mais également pour couvrir tous les risques tiers ? Contactez-nous.