C’est maintenant l’automne. Pour la plupart des entreprises, cette saison est souvent synonyme de démarrage de nouveaux projets. On en profite pour reprendre en main certains dossiers mis de côté pendant les vacances, et on décide de les avancer rapidement pour bien finir l’année.
Or, beaucoup de ces projets impliquent de faire appel à un fournisseur. Une entreprise travaille rarement en vase clos et elle a besoin d’autres organisations ou pigistes pour l’accompagner dans sa croissance.
Faire confiance à des fournisseurs : un défi de taille!
Faire affaire avec un nouveau fournisseur : un risque de plus pour votre entreprise?
Bien sélectionner ses fournisseurs est un enjeu très important, car vous devez faire appel à des personnes de confiance qui vous aideront à faire grandir votre entreprise.
En général, on s’assure de la viabilité financière de ces personnes. On vérifie aussi leurs anciens projets, et si les anciens collaborateurs sont prêts à les référer. Puis, on regarde si on s’entend bien et si on partage les mêmes valeurs.
Cependant, avez-vous déjà pensé à vérifier aussi leur santé d’un point de vue de la sécurité informatique?
Vos fournisseurs représentent un risque conséquent. Ils ont accès à des données et systèmes appartenant à votre entreprise. Dépendamment des projets, une copie de vos renseignements sera peut-être même envoyée dans leurs bureaux de manière temporaire ou permanente. Ils peuvent devenir des canaux privilégiés pour les hackers.
C’est un peu comme si vous installiez une serrure très complexe sur votre porte, mais que vous donniez vos clefs à votre voisin, et que celui-ci les laissait toujours traîner, bien visibles, sur sa table de cuisine. Si une personne malintentionnée apprenait cette faille, votre serrure ne servirait plus à grand-chose.
Les hackers essayent souvent d’attaquer une entreprise en ciblant les fournisseurs. L’exemple le plus connu est évidemment l’histoire de Target.
Souvenez-vous. Entre le 27 novembre 2013 et le 15 décembre 2013, Target s’est fait subtiliser des millions de numéros de carte de crédit et des renseignements personnels sur leur clientèle. Les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation.
Le système de facturation externe de Target auquel le sous-traitant avait accès n’était pas complètement isolé du réseau interne. Les attaquants ont réussi à s’y infiltrer, à voler les données personnelles, et à installer un logiciel malveillant sur quelques terminaux de paiements pour récolter les cartes de crédit.
Par contre, Target aurait pu éviter l’enfer en empêchant ses prestataires d’accéder à des ressources informatiques qui ne sont pas nécessaires pour leur travail. Ils ont également mis en place une série de mesures de sécurité qui permettent de mieux encadrer ce que les fournisseurs externes peuvent et ne peuvent pas faire.
Ainsi, la sécurité des fournisseurs n’est pas un enjeu à prendre à la légère.
L’évaluation de vos fournisseurs en cybersécurité : par où commencer?
On parle ici de toutes sortes de fournisseurs : la pigiste qui s’occupe de vos médias sociaux et de vos infolettres, la compagnie familiale qui effectue l’entretien ménager, la multinationale qui gère vos systèmes informatiques ou votre comptabilité, le fournisseur qui s’occupera bientôt de votre système de mission dans le « cloud »…
Tous ont accès à des informations concernant votre entreprise et peuvent devenir une porte ouverte pour un attaquant.
Or, certains critères peuvent être évalués avant même de faire affaire avec un nouveau prestataire. Cela fait généralement partie du processus de sélection du fournisseur. Autant faut-il savoir poser les bonnes questions.
En voici quelques exemples :
- Comment gèrent-ils leurs propres informations?
- Ont-ils l’habitude de gérer des données sensibles?
- Sensibilisent-ils leurs employés aux risques de cybersécurité?
- Font-ils des vérifications des antécédents avant d’embaucher de nouveaux employés?
- Ont-ils une gestion des accès selon la tâche et leur rôle ou tous les employés ont accès aux mêmes données même s’ils n’en ont pas besoin?
- Comment réagissent-ils lorsqu’ils sont témoins de quelque chose d’anormal? Savent-ils qui prévenir? En serez-vous informé?
Par la suite, le tout pourra être concrétisé à l’intérieur d’un contrat afin de confirmer les engagements du fournisseur en matière de cybersécurité. En cours de contrat, il est également important d’assurer un certain suivi. Par exemple, on peut rédiger des procédures afin de guider les fournisseurs en ce qui concerne les bonnes pratiques en cybersécurité. On peut les classer par leur niveau de criticité et réaliser des audits à intervalle régulier.
Être accompagné pour choisir un nouveau fournisseur en toute sécurité
Nous avons mis en place une formation spécialement destinée aux dirigeants d’entreprise qui veulent faire appel à de nouveaux fournisseurs de Cloud! Communiquez avec nous pour en savoir plus.
Finalement, il y a beaucoup à penser, mais CyberSwat est là pour vous aider. Contactez-nous dès maintenant pour évaluer le niveau de risque qu’apporteraient vos fournisseurs dans tous vos nouveaux projets cette année!
