Tiers de confiance ?
Nos environnements numériques sont de plus en plus complexes et sur le chemin critique de nos business. Ils ne cessent d’évoluer à tous niveaux : réglementaire, typologie des cybermenaces, risques liés aux technologies émergentes, pressions constantes dues à l’évolution de plus en plus rapide des marchés.
Dans ce contexte, de nombreuses entreprises font appel à des « tiers » dans l’exécution des services informatiques, tiers qui vont s’intégrer dans les chaines de traitement, partageant souvent infrastructures comme données.
Une grande entreprise peut facilement travailler avec plus de 100 prestataires ou fournisseurs, comme les ESN. Ces dernières sont des partenaires privilégiés, sollicitées pour des prestations de conseil, des solutions informatiques, du développement, de l’ingénierie, et le partage d’informations à protéger est donc important. Il devient difficile de maitriser un tel écosystème, surtout si la sécurité n’a pas été prise en compte dès le début de la relation (presque du « Security By Design » contractuel, dont on entend beaucoup parler).
La relation avec les tiers peut prendre différentes formes. Dans cette liste non exhaustive, on retrouve les interconnexions techniques dans les couches plutôt basses du modèle OSI, comme les Centres de Services qui délivrent des prestations de support et d’administration centralisées. Ceux-ci peuvent être une extension du réseau client. Les Plans d’Assurance Sécurité ont tout leur sens dans ce type de relation. On retrouve également des formes plus classiques, en mode SAAS par exemple, au travers d’applications (couche haute du modèle OSI), où les risques viendront plutôt du côté des droits, des identités et des accès.
Quel que soit le type de relation avec un tiers, il y a en général un historique à rattraper, une confiance à construire ou à retrouver…
L’attaque par rebond, maillon faible de la chaine
Elle porte bien son nom…
Les grandes entreprises sont de plus en plus difficiles à attaquer frontalement. La réglementation est bien plus stricte, les moyens de protection mis en place sont de plus en plus importants et plus compliqués à « casser ».
Le cyber assaillant va alors choisir de « rebondir » par le biais d’une entreprise partenaire/fournisseur de la cible, de taille souvent plus petite et dont la sécurité est plus faillible. Il n’attaque pas directement sa cible mais s’intéresse plutôt à son écosystème de partenaires (fournisseurs, sous-traitants, prestataires de services…), pour exploiter d’éventuelles failles de sécurité et ainsi infiltrer celle-ci.
Utiliser cette technique permet de plus à l’attaquant de profiter non seulement des failles présentes pour faire du prestataire une victime complice mais aussi de dissimuler plus facilement son identité auprès de l’entreprise visée.
On se souvient, en 2020, de l’affaire SolarWinds[1], fournisseur de solutions de gestion et de supervision de réseaux informatiques, où un logiciel espion dissimulé au cœur de l’outil s’est propagé chez tous les clients, avec les ravages que l’on connait. Ou encore les attaques ayant touché AIRBUS en 2019. L’origine de l’incident se trouvait dans un accès non autorisé à des données par un ou plusieurs individus qui se sont fait passer pour un sous-traitant de l’avionneur. Ce type de risque était et reste actuellement en pleine explosion.
Ce type de risque était et reste actuellement en pleine explosion.
[1] Source : SolarWinds : ce que l’on sait sur la cyberattaque massive qui touche notamment Microsoft et des agences fédérales américaines (francetvinfo.fr)
Qui est alors responsable ? Qui porte les risques ?
En cas de cyberattaque d’un client final par attaque rebond, avec des conséquences souvent désastreuses en termes économiques, financières et d’image, peut se poser la question de la responsabilité. Les contrats « historiques » entre les parties n’en font que rarement mention ? S’en suit souvent des batailles d’avocats, qu’il vaut mieux éviter, et traiter le sujet en amont.
Comment faire pour traiter le sujet en amont ?
Au dernier FIC (Forum International de la Cybersécurité), un retour d’expérience d’une grande société d’assurance montrait la complexité de la mise en œuvre d’une opération de rattrapage en matière de contractualisation et permettait de dimensionner les coûts associés : audits auprès des tiers, évaluation de leur maturité en termes de sécurité, évaluation des risques associés au regard de la relation avant d’envisager des projets de consolidation si nécessaire.
Et comme souvent, quand il s’agit de se mettre en conformité avec les exigences sécurité d’une entreprise cliente, les tiers doivent débloquer des budgets qui n’étaient pas prévus à l’origine… alors même que la sécurité peine encore parfois à ne plus être vue comme un centre de coûts par les Boards et autres COMEX (jusqu’à une cyberattaque…) !
La réponse des organismes d’Etat
En dehors de la pression que peut exercer l’entreprise auprès de son tiers fournisseur, la continuité des contrats pouvant être engagée, de nombreuses pistes d’accompagnement sont en cours du côté des états français et européens pour contraindre une mobilisation sur ces enjeux.
Comme en réponse à cette difficulté de négociation budgétaire, de la même façon qu’un 49.3 qui fait beaucoup de bruit…, des obligations réglementaires arrivent ou sont déjà en cours d’application, et entraineront des pénalités financières si elles ne sont pas respectées.
De quoi s’agit-il ? Globalement, pour l’entreprise cliente, l’obligation est faite de cartographier l’ensemble de ses traitements et d’identifier avec précision l’écosystème de ces fournisseurs, sous-traitants et autres prestataires de services ayant un accès à ses systèmes d’information.
PAMS
Parmi les actions engagées par l’Etat, on peut également citer le travail de l’ANSSI, avec la formalisation d’une liste blanche de prestataires d’administration et de maintenance sécurisées, ou PAMS, « dans le domaine de l’informatique classique comme dans le domaine industriel ». Ce référentiel permettra d’apporter aux commanditaires des garanties en matière de sécurité et de confiance à accorder à leurs prestataires, avec une évaluation dans ce domaine de la qualité des prestations d’infogérance proposées. Ce référentiel pourra être exigé par les entreprises de leur fournisseur. La version 1.0 est accessible ici (https://www.ssi.gouv.fr/actualite/securite-et-infogerance-du-nouveau-pour-le-futur-referentiel-pams-de-lanssi/)
Cybersecurity Act
Cette démarche fait directement écho au « Cybersecurity Act » européen qui entrera prochainement en vigueur. Celui-ci servira de cadre à une procédure de certification dédiée aux solutions de cybersécurité, valable dans l’ensemble des Etats membres de l’Union Européenne, avec comme objectif l’obtention d’un score sécurité, comme notre bon Nutri-Score sur les aliments. Nous verrons son impact… Même à E, on mange encore du Nutella 😉.
NIS2, Network and Information Security
Parmi les autres sujets, le NIS2, (Network and Information Security, texte législatif de l’Union Européenne sur la cybersécurité) fait son apparition, et corrige les manquements de son prédécesseur, le bien nommé NIS1. En plus d’étendre les exigences sécurité à de nombreuses entreprises de services autres que les OSE[1] et les FSN[2], le NIS2 améliore la prise en compte et la gestion de la sécurité des chaînes d’approvisionnement, la surveillance et l’audit des tiers. Un non-respect de ces directives pourrait entrainer des amendes allant jusqu’à 10 millions d’€ ou 2,5% du CA. De quoi faire réfléchir tout COMEX ou directeur financier, et aider à débloquer les budgets pour se mettre en conformité…
Le NIS2 doit entrer en vigueur au plus tard en septembre 2024.
[1] OSE : Opérateurs de Services Essentiels
[2] FSN : Fournisseurs de Service Numérique
En conclusion, anticiper pour éviter
On l’a bien compris, l’objectif est d’éviter les cyberattaques par rebond : Permettre, pour les clients, de mieux connaitre les différentes interactions avec les fournisseurs et d’identifier les risques comme les responsabilités ; répondre, pour les sous-traitants, aux nouvelles exigences sécurité en termes de traitement de la donnée (RGPD, …), bénéficier d’un cadre de garanties de gestion sécurité (mesures organisationnelles et techniques, Plan d’Assurance Sécurité, analyse d’impacts, Cyberassurance, contrats …), et être identifié comme un tiers de confiance par le client, et non plus comme un inconnu…