Les cyberattaques contre les fournisseurs de services — souvent appelées cyberattaques de la chaîne d’approvisionnement — continuent de croître. Il est impossible d’éradiquer complètement les vulnérabilités de la chaîne d’approvisionnement. Votre organisation peut toutefois réduire les risques et les risques potentiels avant une compromission, engager des ressources externes pour offrir du soutien pendant un événement et effectuer une analyse rétrospective après un événement qui tient compte des pertes et réduit la probabilité d’une autre attaque.
Ce guide fournit des recommandations simples et pratiques sur la façon de traiter trois domaines essentiels.
Pratique exemplaire no 1 : Prendre des mesures pour repérer et minimiser le risque lié la chaîne d’approvisionnement et aux fournisseurs.
1. Créer un répertoire de fournisseur. Il est essentiel de tenir compte des tiers dans votre programme de gestion des risques. Créez un répertoire contenant les ressources suivantes :
- Tout fournisseur tiers ayant un accès autorisé ou une connectivité au réseau informatique de votre organisation. Il peut s’agir d’un accès permanent, à temps partiel ou ponctuel au réseau informatique, comme un fabricant de technologie d’exploitation qui assure la maintenance de votre système de production.
- Tout tiers ayant accès aux données de votre organisation, y compris les renseignements personnels sur la santé liés aux avantages sociaux des employés, les données sur la paie des employés qui contiennent le salaire des employés, les numéros d’assurance sociale, les adresses ou autres renseignements permettant d’identifier une personne et les données exclusives ou protégées. Par exemple, un fournisseur de services de paie qui reçoit un fichier de paie chaque semaine pour générer la paie des employés.
- Experts-conseils ayant accès à votre réseau informatique ou à vos données. Les experts-conseils externes, par exemple, qui travaillent dans votre bureau sur votre programme d’amélioration de la production, ne devraient avoir accès qu’aux applications et aux données requises pour leur travail. Une pratique exemplaire consiste à établir leurs comptes d’une manière différente de celle des employés permanents, ce qui vous permet de les identifier facilement. Vous devriez exiger l’utilisation d’une authentification multifactorielle.
2. Évaluer les risques liés à vos fournisseurs. Votre répertoire de fournisseurs doit inclure une description détaillée des services fournis et de la dernière fois que la situation de risque du fournisseur a été examinée. Le risque lié au fournisseur tiers doit être évalué, idéalement par une équipe interfonctionnelle qui comprend des représentants des services juridiques, de la conformité, de la protection des renseignements personnels, de la sécurité de l’information, du risque, et de l’approvisionnement, entre autres. Une évaluation des risques clairement définie et un processus d’approbation des fournisseurs sont également importants pour aider à comprendre les risques liés aux fournisseurs. Par exemple, un fournisseur peut, par inadvertance, autoriser des fichiers ou des logiciels malveillants non autorisés à entrer dans le réseau de votre organisation.
Votre organisation pourrait vouloir envisager une évaluation externe des cyberrisques, qui peut être utilisée pour évaluer la situation de risques externes des fournisseurs ayant accès à vos données ou à vos ressources informatiques. Les risques liés à un fournisseur tiers devraient être évalués au moins une fois par année, ou potentiellement plus fréquemment, en fonction de son importance dans vos activités. Vous pouvez également évaluer le risque lié à tout nouveau fournisseur avant d’utiliser ses services.
3. Employer des protections contractuelles. Collaborez avec votre conseiller juridique pour envisager d’intégrer la gestion des risques à vos contrats avec les fournisseurs, notamment :
- Obliger le fournisseur à vous aviser en temps opportun de tout cyberincident ou de toute violation de données, et à coopérer pleinement à la transmission de toute l’information nécessaire à une enquête complète.
- Envisager de demander au fournisseur tiers de souscrire une cyberassurance (et une assurance de la responsabilité civile professionnelle pour les fournisseurs de technologie) pour couvrir les pertes liées au service fourni à votre organisation.
- Obliger le fournisseur à retourner ou à détruire les données à la résiliation ou à l’expiration du contrat. Établir et suivre les procédures internes relatives à la résiliation et à l’expiration des contrats afin que tous les accès aux données soient révoqués et que les données possédées par le fournisseur soient certifiées comme ayant été supprimées ou détruites.
Envisager de demander au fournisseur de se conformer à des normes de cybersécurité — au moins celles que votre entreprise exige d’elle-même.
4. Communiquer, communiquer, communiquer. Collaborez fréquemment avec les fournisseurs tiers qui ont des accès relativement à leur situation et à leurs services en matière de cyberrisques. Soyez conscient de l’écosystème qui existe entre vous, vos fournisseurs tiers et leurs propres fournisseurs (fournisseurs externes).
5. Minimiser l’accès. Respectez le principe du moindre privilège. De nombreuses violations de données de tiers surviennent parce que le fournisseur tiers a inutilement accès aux données et aux systèmes informatiques. Utilisez la segmentation du réseau pour bloquer l’accès aux applications et aux données essentielles non requises aux fournisseurs tiers. Envisagez de diviser les fournisseurs tiers qui ont accès au réseau informatique de l’organisation en segments distincts en fonction des services et des fonctions qu’ils offrent.
Pratique exemplaire no 2 : Engager des ressources externes lorsqu’un fournisseur est compromis.
1. Atténuer d’abord. Lorsque vos systèmes sont compromis à la suite d’un cyberincident, l’atténuation est la priorité absolue. Selon la nature de la compromission, l’atténuation peut inclure des correctifs, la mise à niveau des versions logicielles, le déplacement des applications derrière des pare-feux, la désactivation de l’accès Internet et la vérification des indicateurs de compromission. La découverte de tels indicateurs devrait déclencher une enquête judiciaire complète afin de comprendre les répercussions sur les systèmes et les données.
2. Aviser votre assureur. Consultez votre courtier et avisez votre assureur le plus rapidement possible. La plupart des polices de cyberassurance offrent une protection pour les services d’intervention en cas d’incident, y compris l’assistance juridique et judiciaire. Elles sont souvent assujetties à un consentement préalable et la plupart des assureurs ont des exigences relatives aux panels de fournisseurs.
3. Faire appel à un conseiller juridique. Il est important de retenir les services d’experts-conseils, surtout en cas de cybercompromission causée par un fournisseur tiers. Le conseiller peut vous représenter pour la coopération du fournisseur avec l’enquête. Votre organisation peut tirer profit d’une perspective plus large et de connaissances plus approfondies lorsque le conseiller a également de l’expérience dans la représentation de clients dans des situations similaires. Dans le cas où la compromission du fournisseur entraîne une violation des renseignements personnels identifiables qui déclenchent des dispositions législatives sur la notification en cas de violation, les conseillers peuvent vous aider à déterminer toute participation du fournisseur dans le processus de réponse en cas de violation des données.
4. Faire appel à l’expertise judiciaire. Un problème important dans une compromission de réseau ou de données causée par un fournisseur est la mesure dans laquelle le tiers doit fournir des résultats judiciaires à ses clients. Il est souvent difficile pour les organisations de déterminer la suffisance de l’enquête du fournisseur et de comprendre toutes les répercussions sur vos données. Vous pouvez tenter de minimiser cette incertitude en demandant un résumé du rapport judiciaire du fournisseur, ainsi qu’en obtenant des conseils juridiques sur la pertinence qu’un cabinet judiciaire tiers examine les conclusions et les déclarations judiciaires du fournisseur. Si la compromission du fournisseur a eu des répercussions sur vos systèmes (par exemple, découverte d’indicateurs de compromission), vous aurez besoin de votre propre enquête judiciaire.
Pratique exemplaire no 3 : Après la compromission d’un fournisseur, évaluer et réévaluer les plans et les fournisseurs, et tirer profit de votre cyberassurance.
1. Apprendre les leçons après coup. Passez en revue les étapes de prévention mentionnées ci-dessus pour réduire le risque que votre organisation soit de nouveau exposée aux vulnérabilités de sécurité liées aux fournisseurs.
2. Examiner et mettre à jour les plans d’intervention. Évaluez les plans d’intervention en cas d’incident, de récupération après sinistre et de gestion de crise dans le contexte de la compromission du fournisseur et déterminez ce qui a fonctionné, ce qui n’a pas fonctionné et les ajustements nécessaires.
3. Remplacer le fournisseur. Reconsidérez l’utilisation du même fournisseur qui a causé le problème et enquêtez sur l’utilisation d’autres fournisseurs posant un risque moindre.
4. Utiliser la cyberassurance pour couvrir les frais de règlement. Déterminez si la compromission du fournisseur a causé une perte de revenus en raison d’un temps d’arrêt du système, de dépenses ou de frais supplémentaires qui pourraient être réclamés en vertu de la garantie contre la perte d’exploitation de votre police de cyberassurance. Déterminez si l’indemnisation contractuelle ou d’autres dispositions traitent de la récupération des pertes de la part du fournisseur. Attendez-vous à un risque de responsabilité si des données réglementées ont été exposées. Faites appel à des comptables judiciaires au besoin pour évaluer les pertes et préparer la preuve de perte.
En résumé
Les cyberattaques contre la chaîne d’approvisionnement continuent de croître, et certaines sont tout simplement impossibles à éliminer. En gardant cela à l’esprit, envisagez une approche fondée sur la gestion des cyberrisques. Alors qu’une approche de cybersécurité traditionnelle se concentre principalement sur l’atténuation, la gestion des cyberrisques tient compte du fait qu’on ne peut pas éliminer tous les risques et qu’on ne peut pas éviter toutes les attaques, surtout quand il s’agit de votre chaîne d’approvisionnement. Concentrez-vous plutôt sur la réduction du risque et de l’exposition potentielle.