La gestion des tiers, qu’ils soient partenaires, fournisseurs ou éléments plus lointains de votre écosystème, est encore synonyme de casse-tête pour les RSSI. Trop de fournisseurs, pas assez de temps ou de ressource pour s’en occuper, défiance envers les discours Cyber des tiers, manque d’outillage : encore beaucoup de questions sans réponse évidente.
Pour vous aider à avancer, voici quelques conseils, issus de l’expérience acquise par Advens sur le terrain… que ce soit à vos côtés pour construire vos corpus contractuels, élaborer vos grilles d’analyse des tiers, les auditer ou gérer une crise provoqué par un fournisseur négligeant… mais aussi en tant que fournisseur d’entreprise qui veille à la sécurité de son écosystème !
Quels sont les bonnes et les mauvaises pratiques pour renforcer la cybersécurité de sa supply-chain et mieux gérer les risques associés aux tiers et aux fournisseurs ? Voici quelques conseils très concrets, pour savoir ce qu’il faut faire… et identifier aussi ce qu’il ne faut pas faire !
Les bonnes pratiques de sécurité pour gérer les tiers
- S’intégrer : Il est essentiel que la sécurité des tiers soit traitée dans le cadre des processus déjà en place pour gérer les tiers. Si le service Achats a défini un processus pour valider les fournisseurs, le RSSI doit s’y intégrer. Créer un processus parallèle sera contre-productif ! Et au passage, en s’intégrant on peut espérer réduire le Shadow IT !
- Collaborer : Les approches par écosystèmes permettent de mutualiser les travaux et de réduire les efforts associés. Si vous avez des confrères et des consœurs dans un même secteur, ou sur un même territoire, pourquoi ne pas mettre en commun vos grilles d’analyse ? Le secteur aéronautique a connu de grandes avancées grâce au programme commun définit par BoostAerospace par exemple.
- Contrôler : La sécurité d’un tiers ne se résume pas à la phase de contractualisation. Il est crucial de faire vivre ce processus durant l’exécution du contrat, de la mission, du partenariat. Les contrôles doivent être le plus réaliste possible et ne sont pas nécessairement du côté des tiers. De nombreuses attaques ont eu lieu via l’exploitation d’accès distant fourni à des tiers. De quand date votre dernière revue des comptes Fournisseurs sur le VPN ?…
- Valoriser : Les certificats et les labels de sécurité peuvent être utiles… si on les utilise à leur juste valeur, avec attention et sans a priori. Oui certains « coups de tampons » ont moins de valeur que d’autre… oui certaines certifications peuvent s’apparenter à un exercice documentaire sans apport sur la sécurité. Mais les mêmes certifications et labels peuvent être un gage précieux de qualité et de sérieux. Là aussi, il faut challenger et vérifier ce qu’on attend (déclaration d’applicabilité, périmètre du label, organisme ayant délivré le précieux « tampon »…). Et les exiger, c’est gagner du temps et faire monter le niveau d’exigence de votre marché.
Les pratiques à éviter pour la sécurité de la supply-chain
- Surcharger : Non, un questionnaire n’est pas plus efficace s’il dépasse les 300 questions. Le sujet de la sécurité de la supply chain a trop souvent été abordé par un fichier Excel qui devient une punition pour ceux qui le remplissent et ceux qui l’analysent. Les points de contrôle doivent correspondre à vos menaces et doivent faire l’objet de contrôle, pendant toutes les étapes de la vie du contrat !
- Oublier : Le sujet ne se résume pas à la phase de contractualisation. S’il est essentiel de définir des clauses adaptées à vos différents contrats, et validées par un spécialiste, il ne faut pas s’arrêter là. La vie du contrat doit intégrer un volet Cyber avec des contrôles d’une part, mais aussi de quoi faire face à toutes les étapes de ce cycle de vie. Le contrat s’arrête ? On prévoit la réversibilité ! Le fournisseur est racheté ? On challenge la maison mère ! Le périmètre est étendu ? On contrôle les évolutions…
- Isoler : Gérer les risques des tiers est un sport d’équipe. Les experts Cyber ont une connaissance de certains risques. Mais les demandeurs et clients internes de ces tiers ont une connaissance cruciale du sujet : c’est avec eux qu’il faut se creuser la tête pour challenger la sécurité de contrats les plus critiques. Ils seront à même d’identifier des menaces précises et contextualisées.
- Prétendre : La Cyber, c’est notre passion… mais ça n’est pas le cas pour tous les fournisseurs. Pour certains, c’est juste une étape à franchir pour obtenir un bon de commande. Ces mêmes fournisseurs pourraient avoir tendance à répondre un peu vite et un peu trop souvent positivement aux exigences du RSSI. Ne les blâmez pas, surtout pas les petites structures peu mâtures, mais dialoguez ! C’est une façon de leur faire prendre conscience des risques et c’est le meilleur moyen de sentir leur appétence. Autre petite indice : s’ils posent des questions sur votre grille d’analyse ou votre processus de gestion des tiers, c’est sans doute qu’ils veulent bien faire les choses !
Article initialement paru dans Cyberun
