Cinq questions à poser sur les fournisseurs tiers et la cybersécurité

Des consultants en marketing aux partenaires de la chaîne d'approvisionnement en passant par les comptables et les fournisseurs de services informatiques, les organisations dépendent aujourd'hui de toutes sortes de tiers pour pratiquement toutes les fonctions commerciales imaginables.

Selon une étude récente du Ponemon Institute, la conséquence involontaire des dépendances envers des tiers est que 61 % des organisations aux États-Unis ont subi une violation de données causée par un tiers ou un fournisseur. Cinquante-sept pour cent des entreprises ne peuvent pas déterminer si les politiques de sécurité et les défenses de leurs fournisseurs peuvent empêcher de manière adéquate une violation, et moins de la moitié évaluent les pratiques de sécurité et de confidentialité des fournisseurs avant de conclure un accord commercial qui requiert le partage d'informations sensibles ou confidentielles. .

Il n'est donc pas surprenant que, selon la même étude, seulement 16 % des personnes interrogées aient qualifié leur entreprise de « très efficace » pour atténuer les risques liés aux tiers. En fait, ceux qui privilégient la gestion de leurs risques d'externalisation sont minoritaires.

Le meilleur moment pour commencer à réduire les risques liés aux tiers est au tout début de la relation, avant de conclure un accord. C'est à ce moment-là que vous devez poser des questions critiques pour identifier l'exposition possible que vous prenez et comment éviter au mieux un compromis. Les fournisseurs ayant de solides pratiques de sécurité sont généralement disposés à en parler, tandis que ceux qui évitent de telles discussions peuvent cacher quelque chose. Dans cet esprit, voici cinq questions - une en interne et quatre pour les candidats sérieux - que vous devriez poser lorsque vous envisagez un tiers :

À quels systèmes et données le tiers possédera-t-il ou accédera-t-il ? De nombreux tiers n'auront pas accès aux données ou aux systèmes sensibles, donc s'ils subissent une violation, la menace pour vous est minime. Un fournisseur d'aménagement paysager, par exemple, a peu accès aux données ou aux systèmes, et probablement aucun à l'intérieur d'une installation. Le seul réseau informatisé auquel il pourrait accéder est peut-être un système d'irrigation, qui serait plus que probablement isolé des systèmes internes de l'entreprise. Par conséquent, toute violation potentielle de ce fournisseur de paysage hypothétique devrait avoir peu ou pas d'impact.

Un fournisseur de ressources humaines, un système financier ou un fournisseur, en revanche, serait très différent. Par exemple, si vous avez embauché un consultant pour développer des analyses client à l'appui de la stratégie marketing ou commerciale, cette entité peut avoir accès aux données de l'entreprise couvrant les numéros de carte de crédit et les adresses personnelles des clients, ou les données financières de l'entreprise. Ce type de consultant doit être soigneusement contrôlé.

Quel type de journalisation et de surveillance le tiers effectue-t-il ? La journalisation et la surveillance sont les principaux moyens par lesquels une organisation enregistre et répond à l'activité au sein de son environnement. Mais les journaux d'activité du système et du réseau sont détaillés. Et dans les environnements informatiques modernes d'aujourd'hui, qui sont composés de plusieurs systèmes divers et de réseaux à large bande passante, le volume d'événements de journal devient rapidement écrasant à gérer pour un humain. Pour surveiller correctement les événements de sécurité, des outils doivent être déployés pour stocker et trier ces événements. En connaissant le personnel et les choix d'outils du fournisseur, vous comprendrez à quel point la sécurité est prise au sérieux. Après tout, personnes + outils =argent =ressources =priorités. Recherchez des partenaires qui donnent la priorité et investissent dans la sécurité.

Comment le tiers gère-t-il les contrôles d'accès physiques et techniques ? Les contrôles d'accès sont un moyen de réduire la vulnérabilité, et donc les risques. Ils prennent deux formes principales :physique et technique. Dans notre monde hyper-connecté, il est facile d'oublier l'importance des contrôles physiques. Vous devez identifier les emplacements physiques où le tiers stocke, traite et transmet les données, ainsi que le niveau de sécurité physique à ces emplacements. Si vos données doivent être stockées sur des appareils mobiles, il est important de comprendre les contrôles de sécurité associés à ces appareils, car ils peuvent ne pas toujours se trouver dans un emplacement physique statique.

Les contrôles d'accès techniques sont également importants pour l'évaluation des systèmes et des réseaux. Demandez combien de personnes auront accès à vos données et dans quel but. Comprenez comment le tiers utilise l'authentification multifacteur, à quelle fréquence les utilisateurs du groupe d'administrateurs sont examinés, à quelle fréquence les autorisations système sont examinées et comment l'accès des employés sortants est supprimé. En outre, découvrez comment les pratiques et les outils de segmentation du réseau sont utilisés. Par exemple, quels contrôles sont en place pour isoler les systèmes de production d'autres environnements comme Internet ? Comment le tiers segmente-t-il son réseau interne ?

Souvent, de bons contrôles d'accès physique peuvent compenser des contrôles techniques faibles, et vice versa. Mais la meilleure pratique consiste à limiter l'accès physique et technique aux données et aux systèmes aux personnes nécessaires pour fournir le service. Les contrôles d'accès laxistes ouvrent la surface d'attaque et augmentent vos risques.

Quelles approches le tiers adopte-t-il pour appliquer des correctifs aux systèmes ? Bien que les vulnérabilités inconnues ou non divulguées soient dramatiques et attirent beaucoup d'attention, elles sont rares. Les organisations sont plus exposées aux vulnérabilités connues qu'inconnues. Par conséquent, les tiers doivent avoir mis en place des programmes robustes pour corriger les vulnérabilités connues, en appliquant rapidement des correctifs de sécurité qui mettent à jour les failles et suppriment les logiciels vulnérables sous-jacents.

Les principaux fournisseurs de logiciels publient régulièrement des mises à jour. Lors de votre examen des tiers, vous devez être convaincu que les systèmes qui traitent, stockent et transmettent vos données recevront des mises à jour régulières et opportunes, et que des processus accélérés existent pour les vulnérabilités immédiates et critiques.

Le tiers subit-il des audits ou des tests indépendants ? Quelles certifications de sécurité a-t-il obtenu ? Les audits tiennent les organisations responsables. Les tiers devraient s'auto-vérifier en remplissant et en conservant des questionnaires de sécurité normalisés à jour tels que le SIG Lite ou le CSA CAIQ. Au-delà des auto-évaluations, les audits indépendants vous garantissent que le tiers respecte ses politiques et procédures. Les audits indépendants peuvent inclure des tests de pénétration ou SOC 2. Certaines industries ont leurs propres certifications comme HITRUST dans les soins de santé, PCI pour les processeurs de paiement et FedRAMP dans le gouvernement fédéral américain. Dans tous les cas, les audits indépendants sont importants et montrent un engagement à maintenir un programme de sécurité des informations validé et formel.

Prises collectivement, les discussions autour de ces domaines clés vous donneront une idée de la posture de sécurité d'un fournisseur. Si les réponses du fournisseur sont transparentes et indiquent une priorité stratégique et une diligence proactive, vous pouvez aller de l'avant avec plus de confiance. Si la posture de sécurité du fournisseur est immature, alors vous devez soit accepter le risque, soit envisager d'autres mesures d'atténuation pour le contrôler.

Ne laissez pas la sécurité des données être une réflexion après coup. Faites-en une partie intégrante des discussions sur les produits et services. Dans l'environnement actuel d'attaques volumineuses et complexes, la cybersécurité est une affaire commerciale. Vous devez faire preuve de diligence raisonnable pour comprendre votre risque.

Jeremy Haas est responsable de la sécurité et Ryan Bergquist est analyste en cybersécurité, avec LookingGlass Cyber ​​Solutions .