De nos jours les entreprises ont de plus en plus conscience des risques cyber et des impacts potentiels qu’une cyberattaque pourrait avoir sur leur entreprise. Pourtant la cybersécurité d’une entreprise doit également intégrer celle de ses fournisseurs. Le risque cyber third-party est également appelé risque cyber lié aux tierces parties. Il fait référence aux risques cyber liés aux fournisseurs, sous-traitants et prestataires de services.
Le recours à des fournisseurs expose les entreprises à des risques cyber potentiels, car une faille chez un prestataire peut compromettre l’ensemble de la chaîne. Nous pouvons notamment faire allusion à la cyberattaque de SolarWinds touchant 18 000 clients dont Microsoft ou encore à l’attaque informatique ciblant un prestataire de Truffaut, Boulanger et Cultura (1.5 millions de clients Cultura concernés par l’attaque).
Voici les meilleures pratiques à adopter pour minimiser ces risques :
Évaluation rigoureuse des risques des fournisseurs
Avant de signer un contrat avec un fournisseur, il est essentiel de mener une évaluation approfondie de ses pratiques de cybersécurité. Cela comprend la vérification de sa conformité aux normes de sécurité (comme ISO 27001) et la revue de son historique en matière de cyber incidents. Une due diligence régulière permet d’identifier les failles potentielles en amont.
Clauses contractuelles strictes
Les contrats avec les fournisseurs doivent inclure des clauses précises sur les exigences de sécurité. Par exemple, il est nécessaire de définir les actions à entreprendre en cas de cyber incident et les responsabilités respectives de chaque partie. Ces clauses doivent aussi prévoir des audits réguliers et des mécanismes de correction immédiate.
Surveillance continue des fournisseurs
Une simple évaluation initiale ne suffit pas. Il est crucial de suivre régulièrement les pratiques des fournisseurs et de demander des preuves de conformité à vos normes de cybersécurité. Des audits périodiques et des systèmes de surveillance active permettent de garder un œil sur les vulnérabilités potentielles.
Culture de la cybersécurité chez les tiers
Vos fournisseurs doivent être considérés comme faisant partie intégrante de votre posture cyber globale. En prenant des mesures proactives pour prévenir les cyberattaques et réduire les cyberrisques, vos fournisseurs contribuent à renforcer votre posture de sécurité en éliminant les failles potentielles que des acteurs malveillants pourraient exploiter pour compromettre vos systèmes. Vous pouvez également demander si les employés de vos fournisseurs reçoivent des formations régulières sur les menaces et les bonnes pratiques en matière de cybersécurité.
Travailler avec des fournisseurs dont les pratiques en matière de cybersécurité sont dignes de confiance permet de minimiser les risques de cybermenaces. Cela présente également d'autres avantages, tels qu'une cyber-résilience accrue, une meilleure réputation et une plus grande confiance de la part des clients.
Plan de réponse aux incidents
Il est indispensable de disposer d’un plan de réponse aux incidents qui inclut la gestion des cyberattaques impliquant des fournisseurs. Ce plan doit être testé régulièrement et intégré aux protocoles globaux de réponse aux cyberattaques de l’entreprise.
Exiger une cyber assurance pour les fournisseurs
Une des meilleures façons de limiter le risque est d’obliger vos fournisseurs à souscrire à une assurance cyber. Cette couverture garantit que, en cas d’incident, ils seront capables de couvrir les coûts liés aux pertes de données ou aux interruptions de service. Cela vous offre une protection supplémentaire en cas de cyberattaque via un fournisseur et peut réduire les pertes financières et opérationnelles.
Communication et formation
Assurez une communication claire avec vos fournisseurs concernant les exigences de sécurité et formez vos équipes en interne pour répondre efficacement à d’éventuelles failles liées à des prestataires.
En intégrant les bonnes pratiques de gestion des risques cyber liés aux fournisseurs vous protégez votre organisation contre des menaces potentielles. De nouveaux contrats d'assurance cyber étendent leur couverture aux fournisseurs et couvrent une partie de vos pertes d'exploitation liées à une atteinte du système d'information de votre fournisseur.
La souscription à une assurance cyber devient une composante clé de votre stratégie globale de cybersécurité.
