Skip to main content
Marsh logo

Article

Les cyberrisques liés aux tiers ont une incidence sur toutes les organisations

Bien que les cyberattaques contre les chaînes dʼapprovisionnement soient inévitables, les risques et les répercussions peuvent être gérés et réduits.

06/27/2024 · Lecture de 4 minutes

Apprendre à comprendre, à mesurer et à gérer les cyberrisques liés aux tiers

Les cyberrisques liés aux tiers, aussi appelés risques liés à la chaîne d’approvisionnement numérique, ont une incidence sur toutes les sociétés, en particulier celles qui :

  • recourent ou se fient aux fournisseurs de technologie pour mener leurs activités quotidiennes;
  • transmettent des renseignements confidentiels sur les clients et les employés à un fournisseur tiers;
  • se fient à un fournisseur tiers pour obtenir certains biens et services.

Selon une récente étude SecurityScorecard, au moins 29 % de toutes les atteintes étaient attribuables à un vecteur d’attaque tiers, ce qui signifie que le risque principal provenait de l’extérieur de la société. De ce nombre, 75 % concernaient des logiciels ou d’autres produits et services technologiques, et les 25 % restants provenaient de produits ou de services non techniques. Ces statistiques soulignent l’interconnectivité numérique dans l’ensemble de la chaîne d’approvisionnement ainsi que les risques inhérents à ces relations.

Comme l’indiquent les récents grands titres et les membres de l’assistance judiciaire en cas de réclamation de Marsh, ces types d’attaques sont en hausse, ce qui souligne à quel point il est essentiel, sur le plan opérationnel, pour votre société de comprendre, de mesurer et de gérer les cyberrisques liés aux tiers.

Les risques liés aux tiers en quelques chiffres :

(Source : OneTrust)

60%

des sociétés travaillent avec plus de 1 000 tiers

71%

des sociétés déclarent que leur réseau de tiers inclut plus de fournisseurs qu’il y a trois ans

73%

des sociétés ont connu des perturbations importantes causées par un tiers, qu’il s’agisse d’une atteinte à la protection des données ou d’une infraction aux règles d’éthique

73%

des sociétés affirment que leurs tiers ont un meilleur accès aux actifs liés aux données organisationnelles qu’il y a trois ans

80%

des sociétés déclarent avoir élargi leurs questionnaires sur la diligence raisonnable au cours des dernières années

Comment votre société peut-elle réduire les pertes relatives aux cyberrisques liés aux tiers?

En plus de mettre en œuvre des pratiques exemplaires généralement reconnues en matière de cyberhygiène, votre société devrait envisager de prendre les mesures suivantes pour réduire la probabilité et l’incidence d’une perte découlant d’une cyberattaque liée à des tiers.

Ces mesures ne sont pas universelles. Après les avoir examinées, votre société pourrait vouloir les modifier pour qu’elles soient mieux adaptées à vos exigences particulières.

1.    Déterminez quels fournisseurs de produits et services essentiels font partie de votre écosystème de fournisseurs. Cela comprend, dans la mesure du possible, l’identification des fournisseurs et prestataires essentiels auxquels vos fournisseurs font appel, aussi appelés « fournisseurs externes ».

2.    Utilisez la quantification des risques pour définir et quantifier les risques liés à vos tiers. Cela permet à votre société de déterminer l’incidence potentielle d’une attaque contre un tiers sur votre chaîne d’approvisionnement et de mettre les principales parties prenantes au diapason sur la façon de traiter le risque.

3.    Concevez et tenez à jour un plan d’intervention en cas d’incident bien avant qu’un incident ne survienne. Lors de l’élaboration du plan, tenez compte des attaques touchant les tiers. Il est également important de mettre le plan à l’essai selon plusieurs scénarios. Les exercices sur table doivent inclure les principales parties prenantes de votre société (pas seulement la sécurité de l’information et l’équipe informatique) pour mettre l’efficacité globale du plan à l’essai.

4.    Passez en revue vos polices de cyberassurance existantes pour comprendre les répercussions sur le plan de la couverture d’une attaque contre un tiers dans la chaîne d’approvisionnement de votre société.

5.    Vérifiez que les tiers disposent d’une cyberassurance suffisante pour répondre aux exigences de la société de première partie. Cela démontre l’hygiène de la gestion des cyberrisques et la mise en œuvre probable de mesures de contrôle minimales. Pour assurer votre assurabilité, certaines mesures de contrôle sont souvent exigées.

Scénarios réels

Les scénarios suivants montrent certains risques liés aux tiers auxquels votre société pourrait être exposée, ainsi que leur incidence potentielle si et quand ils se concrétisent.

Click on the buttons below to learn more about each scenario.
selected option

Scénario : Fait appel à des fournisseurs de technologies pour mener ses activités quotidiennes, et est technologiquement connectée aux fournisseurs.

Risque : Perturbation technologique touchant le fournisseur entraînant une interruption des activités de l’entreprise.

Répercussions potentielles : Pertes d’exploitation indirectes, en plus des frais et coûts supplémentaires.     

Exemple : Panne chez un fournisseur de services infonuagiques entraînant une période d’arrêt du site Web et empêchant l’exécution des commandes.

Scénario : Se fie à des fournisseurs de technologies pour mener ses activités quotidiennes, et est technologiquement connectée au fournisseur.  

Risque : Compromission des produits et services de l’entreprise de technologie ayant une incidence sur le réseau ou les données de l’entreprise.

Répercussions potentielles : Cyberincident, comme une intrusion ou une attaque par rançongiciel, entraînant une perte d’exploitation et des coûts connexes.

Exemple : Vulnérabilité logicielle laissant une porte ouverte aux attaques, ce qui permet d’installer des codes malveillants sur le réseau de l’entreprise.

Scénario : Confie des renseignements confidentiels sur ses clients et employés à un fournisseur tiers, et n’est pas technologiquement connectée au fournisseur.

Risque : Atteinte aux renseignements confidentiels de l’entreprise occasionnée par le fournisseur.

Répercussions possibles : Incident lié à la protection des renseignements personnels doublé de coûts pour les première et tierce parties.

Exemple : Fournisseur de services de paie subissant une atteinte aux renseignements sur les employés, ou compromission des renseignements sur la fidélité des clients chez un fournisseur de services de technologie.

Scénario : Se fie à un fournisseur tiers pour se procurer des biens ou des services précis; n’est pas technologiquement connectée au fournisseur.

Risque : Perturbation technologique subie par le fournisseur tiers entraînant l’interruption de la capacité de l’entreprise à générer des revenus ou l’entravant.

Répercussions potentielles : Pertes d’exploitation indirectes, en plus des frais et coûts supplémentaires.

Exemple : Perturbation du réseau plombant la capacité de l’entreprise à recevoir ses produits.

Votre société peut, et devrait, renforcer ses mesures de sécurité de façon proactive contre les risques liés aux tiers. Cela inclut de définir et de comprendre ce qui constitue l’écosystème de fournisseurs, et de quantifier l’incidence du risque lié aux tiers afin d’en comprendre les répercussions sur le bilan financier et d’apprendre comment le transférer éventuellement.

Chez Marsh, nos conseillers en gestion de risques sont à votre disposition pour vous aider à comprendre, à mesurer et à gérer vos risques liés aux tiers. Pour entamer une discussion avec l’un de nos conseillers, communiquez avec votre courtier Marsh ou communiquez avec nous aux coordonnées ci-dessous.

Communiquez avec nous pour savoir comment Marsh peut vous aider à repérer et à gérer les cyberrisques dans votre chaîne d’approvisionnement.

Communiquez avec nous

Nos employés

Tim Marlin

Tim Marlin

  • United States

Allison Pan

Allison Pan

  • United States

Randal Waters

Randal Waters

Renseignements pertinents

Robot hand ai artificial intelligence assistance for medical healthcare practices operation surgical performance, unity with human and ai concept, with graphical icon display blue banner background

Article

« Intervention humaine » dans la gestion des risques liés à l’IA – pas une panacée

09/02/2024
Lighthouse at sea with choppy waters and waves hitting the lghthouse.

Article

Cyberrésilience : 12 contrôles clés pour renforcer votre sécurité

08/19/2024
Startup business people group at office

Article

Comptabiliser les pertes économiques à la suite de la panne informatique mondiale

07/30/2024
Placeholder Image

Article

Panne causée par la mise à jour logicielle de CrowdStrike

07/19/2024
En voir plus