Le risque de violation de la sécurité et des données par des fournisseurs tiers est bien trop important pour l’ignorer. Les étapes de sécurisation développées ici ne sont qu’un point de départ, explique aux lecteurs de Solutions Numériques William Culbert, directeur Europe du Sud de BeyondTrust (ex Bomgar), spécialiste de la gestion des accès privilégiés.
Certaines des violations les plus dévastatrices de ces dernières années ont été directement attribuées aux faiblesses de la sécurité des tiers. Les pirates ont même déclaré cibler spécifiquement les vendeurs. Une étude récente a révélé que 63 % des violations de données étaient liées à un fournisseur tiers responsable du support, du développement et/ou de la maintenance du système. En 2018, plus de onze violations importantes ont été causées par l’accès de fournisseurs tiers. Ces infractions (Target, Saks 5 th Avenue, Universal Music Group, Applebee’s, etc.) comptent parmi les incidents les plus coûteux et les plus dommageables.
Bien que les administrateurs informatiques, les « insiders » et les fournisseurs tiers aient besoin d’un accès privilégié pour effectuer leur travail de manière efficace, cela ne signifie toutefois pas qu’il faut leur accorder tout contrôle sur l’environnement informatique. Cet accès privilégié doit être protégé dans la même mesure (ou davantage) que les utilisateurs privilégiés internes à l’organisation. Faute de quoi, cette dernière aura un maillon très faible dans sa sécurité, qui pourrait facilement être exploité par des cyber-attaquants.
Pour faire face aux cyber-risques des fournisseurs tiers, il est essentiel de bien comprendre les enjeux de l’accès à distance afin de pouvoir mettre en œuvre les contrôles appropriés pour sécuriser leur accès aux comptes privilégiés.
Voici quelques conseils sur la manière de maîtriser les connexions réseau de fournisseurs tiers et de renforcer la sécurité de l’accès distant.
Étape 1 – La surveillance des connexions des fournisseurs tiers est essentielle
Premièrement, il est essentiel de surveiller l’activité des fournisseurs tiers et d’analyser leurs activités pour appliquer les politiques d’accès aux systèmes. L’objectif est de capturer l’activité pour déterminer si une faille est une simple erreur ou vient d’un comportement malveillant : enregistrer la session, l’examiner à la recherche de violations ou de problèmes de stratégie connus et corréler les informations pour examiner toutes les données d’un point de vue unique afin de détecter les tendances et les schémas sortant de l’ordinaire.
Étape 2 – Mettre en œuvre des sauvegardes internes et plusieurs niveaux de protection
Le meilleur moyen de protéger l’entreprise des menaces de sécurité émanant de fournisseurs tiers consiste à adopter une stratégie de défense multicouche couvrant l’ensemble de l’entreprise : tous les terminaux, tous les périphériques mobiles, toutes les applications et toutes les données. Entre autres mesures, il faut appliquer un cryptage, une authentification multi-facteurs et une politique de sécurité des données complète.
Étape 3 – Enseigner la prévention
Il est primordial de sensibiliser les membres de l’organisation, les clients et fournisseurs. Cette éducation doit être continue et sans cesse actualisée.
Étape 4 – Effectuer des évaluations de fournisseurs tiers
La réalité est que même les partenaires commerciaux les plus fiables peuvent constituer une menace pour la sécurité s’ils n’appliquent pas les meilleures pratiques. L’utilisation des identifiants des tiers doit être régulièrement passée en revue, pour savoir qui les utilise et limiter les accès à certaines plages horaires afin de réduire les vulnérabilités. Les normes de sécurité et les meilleures pratiques du fournisseur doivent être également évaluées en permanence pour s’assurer qu’elles sont conformes à celles de l’organisation. Il faut les obliger à effectuer une mise à jour des patchs et une analyse des vulnérabilités. En somme, leurs obligations contractuelles doivent être suivies à la lettre.
Étape 5 – Avoir un accord de niveau de service
Il faut créer un accord de niveau de service avec des fournisseurs tiers, qui impose aux fournisseurs de se conformer aux stratégies de sécurité de l’entreprise.
Étape 6 – Evaluation du comportement de l’utilisateur
Les identifiants des fournisseurs et des partenaires sont souvent très faibles et susceptibles d’être divulguées par inadvertance. Par conséquent, le meilleur moyen de protéger les informations d’identification est de les gérer et de les contrôler de manière proactive. Pour ce faire, mieux vaut éliminer les comptes partagés, appliquer l’enrôlement et utiliser des contrôles en arrière-plan pour permettre à des tierces parties d’accéder aux systèmes.
Étape 7 – Séparer l’authentification du contrôle d’accès
La plupart des fournisseurs n’ont besoin que d’accès à des systèmes très spécifiques. Par conséquent, pour mieux protéger l’organisation, il est préférable de limiter l’accès à l’aide de la segmentation physique ou logique du réseau et des chemins d’accès connus grâce à une solution de gestion des accès privilégiés pour limiter les protocoles non approuvés et diriger les sessions autorisées vers un chemin d’accès prédéfini.
Étape 8 – Empêcher les commandes non autorisées et les erreurs
À l’aide d’une solution de gestion des accès privilégiés, on peut mettre en place des autorisations granulaires et appliquer le principe de moindre privilège (PoLP). Une première étape indispensable consiste à accorder différentes autorisations sur différents systèmes à l’aide de différents comptes, chacun avec différents niveaux d’autorisation. Il faut également limiter les commandes qu’un utilisateur spécifique peut appliquer via des listes noires et des listes blanches afin de fournir un degré élevé de contrôle et de flexibilité.
Cette liste en 8 étapes n’est qu’un point de départ. Il appartient à l’entreprise de remédier de manière globale aux vulnérabilités de sécurité pouvant découler des relations avec les fournisseurs en tant que partie essentielle des stratégies de gestion des risques informatiques.
