Stratégie

Les cinq plus grands risques liés à l'externalisation de services

Les cinq plus grands risques liés à l'externalisation de services
Les risques liés à l’externalisation auprès de fournisseurs ne doivent pas être sous-estimés, comme le rappellent plusieurs experts et CISO.

Pour une entreprise, le fait de recourir à des tiers pour fournir certains services peut présenter des risques, notamment en matière de sécurité, de réputation et de conformité réglementaire.

PublicitéAlors que les processus métier deviennent plus complexes, les entreprises se tournent vers des tiers pour renforcer leur capacité à fournir des services critiques, allant du stockage dans le cloud à la gestion des données, en passant par la sécurité. Il est souvent plus efficace et moins coûteux de confier à des partenaires des tâches qui, autrement, nécessiteraient des efforts importants et pourraient drainer les ressources internes.

Cependant, l'utilisation de services tiers peut également s'accompagner de risques importants, souvent non anticipés. Les tiers peuvent servir de passerelle pour les intrusions, nuire à la réputation d'une entreprise en cas de dysfonctionnement d'un service, l'exposer à des problèmes financiers et réglementaires, voire attirer l'attention d'acteurs malveillants du monde entier. Une rupture mal gérée avec un fournisseur peut également être périlleuse, entraînant la perte de l'accès aux systèmes mis en place par le tiers, celle de sauvegardes, voire de données.

Les entreprises accordent davantage d'attention aux risques liés à la cybersécurité, selon Luke Ellery, analyste chez Gartner. L'enquête 2022 « Risk Assessments in a Volatile World » de Gartner, réalisée auprès de responsables de programmes de gestion des risques d'entreprise, a révélé que 73 % des répondants évaluaient désormais la cybersécurité de manière plus rigoureuse par rapport à la situation 2019.

La dépendance aux services tiers augmente

« Les organisations dépendent de plus en plus de tiers, tels que les fournisseurs de technologie et de cloud, qui stockent des données sensibles ou accèdent à des systèmes critiques, ce qui accroît l'accent mis sur les tiers », observe Luke Ellery. « Le risque est plus élevé si les contrôles de cybersécurité du tiers sont médiocres. Il existe également le risque que les propres fournisseurs du tiers soient compromis. Si les données ou les systèmes sont compromis, l'impact pour l'entreprise pourrait inclure des dommages à la marque et à la réputation, des amendes ou pénalités légales et réglementaires et des coûts de remédiation. »

Le recours à des tiers est une nécessité largement acceptée par de nombreuses entreprises, constate de son côté Hanne McBlain, directrice principale de la société de recherche et de conseil en technologie ISG, mais ces contrats doivent être gérés de manière suivie. Les partenariats avec des tiers comportent en effet des risques inhérents pour l'entreprise, en déplaçant certains domaines de contrôle au-delà de ses murs. Ce sujet revêt une urgence particulière étant donné que 98 % des organisations dans le monde ont été connectées à au moins un fournisseur tiers piraté au cours des deux dernières années, souligne Caleb Merriman, CISO chez Deltek, un fournisseur de logiciels de gestion des activités en mode projet. Voici les cinq principaux risques de cybersécurité auxquels l'usage de services tiers expose les entreprises.

Publicité1. La compromission des données clients ou de l'entreprise

Selon le Global Cybersecurity Outlook 2022 du Forum économique mondial, les cyberattaques indirectes (violations de données menées par l'intermédiaire de tiers) sont passées de 44 % à 61 % au cours des dernières années. L'une des raisons pour lesquelles ces attaques réussissent ? De nombreuses entreprises n'ont pas les contrôles appropriés en place pour supprimer efficacement les comptes des fournisseurs tiers, indique Peter Tran, directeur de la sécurité de l'information (CISO) de la société de conseil en informatique et en sécurité InferSight. « Elles n'ont pas les processus en place pour contrôler les droits d'accès et le provisionnement de ces comptes, ce qui laisse la porte ouverte aux cyberattaquants qui recherchent des comptes anciens toujours actifs », explique-t-il.

Selon Ariel Weintraub, CISO chez MassMutual (assurance), les données obtenues à partir de violations de tiers peuvent être exploitées par des pirates pour effectuer diverses activités malveillantes, notamment le vol d'identité, la fraude, l'abus de compte et les attaques par prise de contrôle de comptes externes. Les cybermalfaiteurs utilisent fréquemment des informations d'identification compromises et des données provenant de violations de tierce parties (ou même de fournisseurs de rang 2) pour accéder aux environnements d'autres victimes.

« Un tiers peut être attaqué alors qu'il héberge les données d'une entreprise, ou alors un attaquant cible d'abord le tiers et l'utilise ensuite pour atteindre vos systèmes informatiques », explique Michael Orozco, analyste en cybersécurité pour MorganFranklin. Et d'ajouter que la mise en place raisonnée de vérifications et la surveillance continue des vulnérabilités tout au long du cycle de vie du fournisseur aideront à réduire ce risque.

La mise en oeuvre d'une approche de défense en profondeur pour limiter l'accès d'un tiers au réseau d'une organisation est essentielle pour empêcher les adversaires d'obtenir une élévation de privilèges, affirme Ariel Weintraub. En tant que tel, les entreprises doivent examiner attentivement tous les fournisseurs tiers avant de leur permettre d'accéder à leurs systèmes, afin de s'assurer que ceux-ci ont mis en oeuvre les protocoles de sécurité appropriés. « Les tiers sont toujours une préoccupation lorsqu'il s'agit de savoir qui détient nos données ; c'est pourquoi nous évaluons continuellement les partenaires nouveaux et existants d'une façon proportionnée au risque encouru par l'entreprise », confie-t-elle.

2. Le risque financier lié aux coûts des incidents et à la perte d'affaires

Le coût des intrusions peut être extrêmement élevé et la cyber-assurance ne couvre pas toujours la survenue d'une fuite de données si les entreprises ne protègent pas leurs systèmes de la bonne manière, prévient Jay Pasteris, CISO et CIO de la société de services GreenPages. « L'impact financier inclut les coûts directs des pertes de données, mais l'organisation va également subir une atteinte à sa réputation, dit-il. Vous allez perdre des clients. Vous allez perdre la confiance des nouveaux clients, et vous avez perdu la confiance des clients existants, par conséquent, vous perdez des revenus... Or, remplacer un client existant est coûteux. Donc, l'impact financier grimpe très rapidement. »

3. L'atteinte à la réputation et la perte de confiance des clients

Même si aucune fuite n'est survenue en interne, dès lors qu'une violation de données au niveau d'un service tiers implique les informations d'une entreprise ou de ses clients, cette entreprise peut être amenée à faire une déclaration ou à notifier ses clients. « En raison de ces conséquences, les impacts sur la réputation peuvent dépasser de loin les dommages financiers », estime Ariel Weintraub.

La publicité négative associée à l'attaque d'un fournisseur de services peut nuire à la bonne réputation ou à l'image d'une entreprise, et une perception publique défavorable peut en découler. Les plaintes des clients concernant un service fourni par un tiers sont une bonne indication d'un problème potentiel, indique Michael Orozco. « Les clients ne voient pas que votre offre, votre produit, vos services, votre capacité à interagir avec eux sont pris en charge par des tiers, dit-il. Ils ne voient que votre nom, votre marque et votre incapacité à respecter l'engagement que vous avez pris envers eux. »

De nombreuses organisations prennent des mesures proactives pour s'assurer que leurs tiers conservent de leurs données avec le bon niveau de protection. Cependant, lorsqu'un tiers vient avec sa propre supply chain de fournisseurs, les choses se compliquent, avertit Ariel Weintraub. « Au fur et à mesure que vous remontez le fil de vos fournisseurs et des fournisseurs de vos fournisseurs, il peut être difficile d'avoir un aperçu de toutes les entités et de la maturité des programmes de maîtrise des risques protégeant vos données sensibles, en tout cas de disposer de ces informations avec le niveau de rigueur que vous attendez », dit-elle.

4. Le risque géopolitique

La guerre en Ukraine a mis en évidence la nécessité pour les organisations de surveiller de très près les développements politiques et d'être prêtes à agir dans des situations instables, selon Hanne McBlain. Les organisations doivent avoir l'assurance que toutes les activités des fournisseurs, partenaires et coentreprises dans des juridictions soumises à des sanctions ont cessé. « Cependant, la guerre en Ukraine et les sanctions envers la Russie et la Biélorussie ne sont pas les seuls risques géopolitiques à prendre en considération, poursuit-elle. Les fournisseurs opérant dans des pays sujets à des régimes instables, avec des risques de coups d'État militaires, de soulèvements violents et d'oppression systématique des minorités, nécessitent une surveillance attentive et continue. »

La volatilité politique s'accompagne souvent d'une prolifération du cyberespionnage étatique. Les organisations doivent s'assurer que leurs fournisseurs tiers vérifient minutieusement leurs sous-traitants et l'absence de liens avec des gouvernements connus pour se livrer à de tels actes, affirme Ariel Weintraub. « Des tiers peuvent embaucher sans le savoir des télétravailleurs IT indépendants envoyés par des États-nations pour générer des revenus au bénéfice du régime autoritaire du pays ou obtenir un accès aux réseaux d'une entreprise », dit-elle. « Bien qu'ils ne puissent s'engager dans aucune cyberactivité malveillante dans l'exercice de leurs fonctions, ils peuvent utiliser leur accès privilégié pour permettre des cyber-intrusions malveillantes de l'intérieur. Cela rend la détection des activités malveillantes difficile. »

5. Le risque de conformité réglementaire

Les fournisseurs tiers exposent également les organisations à un risque de conformité lorsqu'ils enfreignent les lois de pays, les réglementations sectorielles ou les processus internes des entreprises. La non-conformité des fournisseurs pourrait exposer les entreprises qui les embauchent à des sanctions pécuniaires massives.

Par exemple, les organisations doivent vérifier que leurs fournisseurs tiers sont conformes à la norme d'audit SOC2. Celle-ci vise à garantir que les tiers protègent les données sensibles de leurs clients contre tout accès non autorisé. Les organisations doivent également s'assurer que les tiers respectent les lois sur la confidentialité et la sécurité, telles que le règlement général sur la protection des données (RGPD) de l'Union européenne et la loi californienne sur les droits à la vie privée (CPRA), illustre Jay Pasteris. « La conformité est un risque énorme, poursuit-il. Vous pouvez être en conformité et avoir mis en place les contrôles nécessaires, mais tout d'un coup, vous ajoutez des tiers dans le paysage. Si vous n'évaluez pas le niveau des contrôles en place chez ceux-ci, vous pouvez mettre en cause votre propre niveau de conformité. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis