Sécurité des sous-traitants et de l’écosystème

Sécurité des sous-traitants et de l’écosystème

 Un périmètre difficile à cerner…

La sécurité des sous-traitants et des différents partenaires d’une organisation donnée est un sujet qui occupe désormais une place importante parmi les nombreuses préoccupations des responsables Cyber. Le mode de fonctionnement des entreprises, mais également des entités publiques, implique dorénavant un grand nombre d'acteurs tiers : sous-traitants, fournisseurs, partenaires, clients, laboratoires de recherche, écoles et universités, pouvoirs publics. L’entreprise interagit avec un écosystème très fourni. Et naturellement elle ouvre ses systèmes d'informations et partage ses données.

 

Se dessine alors une nouvelle problématique : celle de la sécurité des sous-traitants. En fonction des pays et des contextes, on la désigne également sous le terme de sécurité de la « supply chain » (pas uniquement dans le sens de la logistique pure, mais plutôt de celui de la chaîne de valeur), de « third party management » ou « vendors management ».

 

Ces différentes appellations permettent d'illustrer une partie importante du sujet. Cependant il est essentiel de rappeler que les entités externes concernées ne sont pas que les fournisseurs ou les sous-traitants. Avec les nouvelles méthodes de travail et d'innovation (co-conception par exemple) d'autres acteurs doivent être intégrés. Et si nous parlions plutôt de sécurité de l’écosystème ?

 

Un périmètre que l’on ne peut plus oublier

Est-il encore nécessaire de rappeler l'importance de cette dimension de la sécurité ?
L’histoire très récente de la Cyber a été marquée par quelques incidents majeurs impliquant des sous-traitants. L’un des exemples les plus marquants concerne la société de grande distribution Target, mise à mal en 2013 par un vol massif de données. Il a été prouvé que l’attaque a été possible suite à la compromission d’un fournisseur, en l’occurrence un prestataire de climatisation et système de réfrigération. Cet exemple largement médiatisé suffit à lui seul à démontrer l'importance du sujet ! Il n'y a pas que les sous-traitants informatiques ou les fournisseurs de solutions qui doivent être intégrés à la réflexion.

 

Plus récemment, en 2019, la société Altran a été victime d'une attaque. Cette fois-ci on peut considérer le problème sous l'angle opposé. Altran agit en tant que fournisseur de services pour de nombreuses grandes entreprises. Cette attaque a donc fait augmenter les battements cardiaques d'un grand nombre de RSSI – et pas uniquement celui d’Altran. Se sont alors posées les habituelles questions en matière de diffusion et propagation de l'attaque mais également autour de la résilience : si je suis client de la société, mon SI peut-il être attaqué ? Comment le sous-traitant va-t-il gérer la crise ? Quel impact sur la continuité de mes activités ?...

 

Quelle approche pour cette sécurité ?

Il faut donc intégrer ce large périmètre qu'est l'écosystème à la démarche de sécurité. L'entreprise est étendue, tout comme son système d'information. Il est essentiel de s'assurer que cet écosystème se compose de maillons forts - toute la sécurité d'une organisation donnée pouvant se réduire à la sécurité de son maillon le plus faible.

Plusieurs approches sont possibles, selon le degré d’engagement que l’on souhaite exiger de la part des tiers, selon la nature de la relation avec ces tiers et aussi selon les capacités à disposition pour piloter un nombre parfois très important de fournisseurs et de partenaires.

 

Clauses de sécurité dans les contrats

Le premier réflexe est souvent celui des clauses contractuelles. On définit un certain nombre d’exigences de sécurité que les tiers doivent respecter dans le cadre de l’exécution d’un contrat. C’est une approche largement répandue, et préconisée par la norme ISO 27002 (dans son chapitre 15, dédiée aux relations avec les fournisseurs).

 

La rédaction de clauses s’est généralisée lors des premières réflexions autour de la sécurité du cloud et en particulier du SaaS. Elle a connu un regain de popularité avec l’arrivée du GDPR, et de la nécessaire mise à jour des clauses. C’est un bon début ! Il est arrivé à plusieurs de nos clients de réaliser des audits et de présenter à un fournisseur les vulnérabilités identifiés sur son périmètre. Les moins coopératifs ont simplement expliqué que le contrat ne les engageait pas à corriger rapidement ce type de faille et qu’ils traiteraient le problème en mode « best effort ».

 

La présence de clauses permet donc de cadrer et de formaliser les exigences attendues de la part d’un fournisseur. Il faut veiller à une formulation correcte des exigences. Une relecture par un juriste ou un conseil spécialisé peut éviter de diffuser des clauses non-applicables ou inadaptées.

 

Les thématiques à aborder sont relativement « classiques » : engagement de confidentialité, correction des failles de sécurité, déclaration des incidents de sécurité, respect des exigences de sécurité applicables aux tiers, conformité avec la démarche Privacy, etc.

 

Questionnaire « Fournisseurs » & Plan d’Assurance Sécurité

La réponse contractuelle est pertinente mais elle présente quelques limites. Elle n’est activée que lorsque début le processus de contractualisation et elle peut être perçue comme trop inflexible. De fait, elle exclut les partenaires ou autres acteurs dont la relation n’est pas cadrée par un contrat… Alors gare à la petite startup avec laquelle on fait un PoC sans cadre d’intervention formalisée ! par ailleurs, pour certaines organisations ou certains projets, il faut intégrer la sécurité (et les autres exigences de conformité) dès les processus de sélection et de sourcing

 

Pour toutes ces raisons, ces clauses sont régulièrement remplacées ou complétées par un plan d’assurance Sécurité (PAS). Le PAS décrit l’ensemble des mesures de sécurité qu’un fournisseur (ou futur fournisseur) s’engage à mettre en place dans le cadre d’un contrat. Très souvent le donneur d’ordre propose un modèle de PAS dans lequel les fournisseurs concernés doivent renseigner leurs réponses quant aux exigences de sécurité exprimées. Après itérations et validation, le document est souvent in fine annexé au contrat et offre un niveau de détail intéressant sur le plan opérationnel.

 

Le PAS type va contenir un ensemble de chapitres qui vont permettre de dresser de façon exhaustive la liste des mesures de sécurité qui seront appliquées. On y retrouve dans un sens la politique de sécurité que le fournisseur appliquera pour le contrat donné. Il peut être tentant de faire un inventaire “à la Prévert”, ou de recopier la norme ISO 27002 ! Il vaut mieux préférer une sélection des mesures pertinentes dans le cadre de la prestation. Le PAS vient alors compléter le corpus documentaire d'un projet ou d'une prestation donnée, aux côtés du Plan d’Assurance Qualité par exemple.

 

Comme pour les contrats et les clauses particulières, se pose alors la question de la mutualisation. Faut-il un PAS par prestation où peut-on demander un PAS unique à un fournisseur qui assurerait plusieurs prestations ? Comment optimiser les efforts tant pour le demandeur que pour le demandé ?

Pour gagner du temps, et pour éviter la multiplication de livrables trop chronophages à analyser, de nombreux responsables Cyber ont fait le choix d'un autre format. Le PAS n’est alors plus systématiquement demandé. Il est remplacé par le fameux questionnaire de sécurité à destination des tiers. Ce questionnaire vise à récolter leur posture face à un certain nombre d'exigences de sécurité.

 

Le simple choix d'un format de type tableau représente déjà un gain d'efficacité. Pour celui qui répond, il peut aller à l'essentiel (en ne négligeant pas la colonne “commentaires” chère à nos consultants qui dépouillent souvent ces questionnaires). Mais aussi pour le demandeur qui verra son analyse facilitée et accélérée. On peut également envisager un tableau modulable. Les questions sont alors proposées en fonction de la nature de la prestation ou de la criticité de la mission. Un socle de base est présent systématiquement ; et des lots de questions complémentaires permettent d’affiner certains points ou d’aborder des thématiques spécifiques (sécurité des développements, sécurité des environnements industriels, respect de certains engagements réglementaires par exemple).

 

Face au nombre important de fournisseurs, on voit vite arriver à la limite de ce fameux questionnaire. La limite ? Ou plutôt les limites !

La première concerne la nature purement déclarative de cette démarche. Si le questionnaire est envoyé lors d'une phase d'appel d'offre, il est très tentant pour la société qui souhaite gagner le marché de répondre positivement à l'ensemble des questions et d'afficher un niveau de sécurité particulièrement bon. Dans certains cas, cela n'est pas nécessairement fait avec malice. Le commercial qui répond dans son coin n’a peut-être pas conscience de l’impact des exigences sur sa société ! Dans d’autres cas, on a clairement vu des fournisseurs enjoliver la réalité pour ne pas perdre de points...

 

La seconde limite est à considérer du point de vue des fournisseurs. Une société qui travaille avec plusieurs organisations, et notamment plusieurs grands comptes, va passer un temps certain à remplir ses fameux questionnaires. Les nombreux RSSI que nous accompagnons dans le secteur du service et par exemple dans le secteur des services numériques (hébergeurs, ESN, etc.) en savent quelque-chose ! Chaque donneur d'ordre impose son questionnaire. Ils se ressemblent tous mais malheureusement pour l'instant il n'y a pas de questionnaire unique. Des initiatives ont été identifiées dans certains groupes comme par exemple le CESIN. Mais on peut tout de même se demander si les directions achats des grands groupes résisteront à la tentation de personnaliser un questionnaire unique ! La solution de Cybervadis peut être pertinente pour cette facette du sujet.

 

Audits & contrôles

C’est ici que l’on ressort la sempiternelle maxime des auditeurs : la confiance n’exclut pas le contrôle ! Et si l’on se prête au jeu du syllogisme, on pourrait dire que l’absence de contrôle exclut la confiance ? Les plus exigeants peuvent n’accorder que très peu de valeur aux réponses récoltés suite à la distribution du questionnaire.

 

L'audit des partenaires est une activité en place depuis de nombreuses années. « Test d'intrusion régulier, audit déclaratif et documentaire annuel, bug bounty, scan de vulnérabilité : il existe de nombreuses activités d'audit pour arriver à cet objectif ! » commente Sébastien Calba, responsable de l’offre Audit au sein d’Advens. Comme tout audit, lorsque les objectifs sont clairement identifiés et partagés, la démarche est très souvent bénéfique. Le fournisseur peut parfois bénéficier d'un audit gratuit financé par un de ses clients. Il ne faut pas le prendre comme une menace, mais au contraire comme une opportunité pour s'améliorer.

 

Cependant, parfois ces audits perdent un peu de vue le contexte. Tout d’abord il ne faut pas oublier le cadre contractuel : si la sécurité a fait l'objet de clauses ou d’un PAS, il serait improductif que l'audit s'écarte du périmètre cadré contractuellement. Ensuite il faut veiller à la possibilité de réaliser l'audit et aux conditions de cet audit. Lorsque la relation contractuelle est déséquilibrée (prenons, au hasard, le cas d’un GAFAM ou autre poids lourd du numérique), il n'est pas toujours possible de réaliser un test d'intrusion par exemple. De même il n'est pas toujours possible de réaliser soi-même ou de faire réaliser certains contrôles.

 

Il faut donc veiller à bien choisir l'activité d'audit. Et la nature de certaines prestations, notamment celle relatives au cloud, peut nécessiter de revoir la fréquence de ces audits. Quel est l'intérêt d'un test d'intrusion annuel lorsque les fonctionnalités d’un service en mode SaaS évoluent toutes les semaines par exemple ? La réalisation d'un test d'intrusion toutes les semaines n'aurait pas de sens et serait un gouffre sur le plan financier ! Il faut donc trouver des solutions permettant d'accélérer la réalisation de ses contrôles…  Et au final on va s'intéresser à leur automatisation !

 

Quid des certifications ?

Qui oserait aborder le sujet de la sécurité de l'écosystème sans aborder la question des certifications, des qualifications et des labels ? L’ANSSI a beaucoup œuvré en ce sens et on parle depuis quelques temps d'une extension de cette démarche au niveau européen.  La démarche des Visas de sécurité a justement pour objectif de développer la confiance des donneurs d'ordres et des acheteurs vis-à-vis des prestataires qui auraient rempli les conditions définies par l’ANSSI.

 

Malheureusement les visas de sécurité sont réservés principalement aux fournisseurs de solutions de cybersécurité ; et ils ne sont pas toujours un réflexe pour certains groupes internationaux. Pour traiter le plus grand nombre de cas de figure, il faut s'intéresser à d'autres référentiels, comme par exemple ISO 27001 ou SOC2. Il en existe beaucoup d'autres, soit liés à certaines régions géographiques, soit liés à certaines pratiques (PCI-DSS pour le paiement), soit liés à certains secteurs d'activité (HDS, HIPAA, NHS).

 

Au risque de paraître un peu rapide et expéditif, force est de constater que les acheteurs ne se contentent que très rarement d'un certificat. Dans certains cas, une certification comme ISO 27001 est demandée… Mais cette exigence est complétée de dizaines d'autres, plus précises ou plus opérationnelles. C’est peut-être une façon de s'assurer que la conformité affichée ne cache pas un problème d'efficacité de la sécurité. On peut tout de même s’interroger sur ce doublement des exigences.

 

Si les certifications ne règlent pas, une bonne fois pour toute, le sujet de la sécurité de l'écosystème, il est intéressant de remarquer que de plus en plus de responsables Cyber ajoutent la certification 27001 à leur feuille de route - et ce à relativement court terme. Dans certains secteurs d'activité c'est devenu un incontournable, notamment pour de nombreux offreurs de services. Dans d'autres secteurs, comme l'industrie par exemple, le sujet retrouve une nouvelle jeunesse !

La certification ISO présente en effet de nombreux avantages. D’une part elle est reconnue partout dans le monde. C’est un gage de qualité intéressant pour une structure présente à l’internationale ou pour une structure qui envisage un tel développement. D’autre part, elle devient un réel avantage compétitif. Pour de plus en plus d’entreprises, la certification ISO 27001 permet de se démarquer sur le marché et de valoriser la démarche Cyber. Enfin, elle peut être aussi une façon de gagner du temps et de s’épargner certains questionnaires fastidieux !

 

Quelques réponses systémiques

Parmi les bonnes idées à retenir, il est intéressant de noter que certaines communautés ou certains secteurs ont fait le choix d'une réponse collective.

On peut citer notamment le cas de BoostAeroSpace, une plateforme numérique aéronautique européenne, créée en 2009 par Airbus, Dassault Aviation, Safran et Thales. Cette structure propose une démarche unifiée et mutualisée pour l'évaluation de la cybersécurité de tous les fournisseurs des grands acteurs de l’aéronautique. Ce secteur fait appel à un nombre importants de fournisseurs, de taille et de maturité parfois très variés. Il a été nécessaire de définir un cadre d’évaluation commun et d’outiller la démarche, pour avoir la force de frappe nécessaire. Au-delà du contrôle, c’est une opportunité pour renforcer la posture Cyber de tout un secteur. Romain BOTTAN, CISO de BoostAeroSpace et Directeur du Programme AirCyber a déclaré : « Main dans la main pour assurer la cybersécurité de la supply-chain du secteur aérospatial : nous ne réussirons le challenge de la protection de nos activités que si nous travaillons conjointement, donneurs d’ordre et fournisseurs tous ensemble, tous AirCyber. »

D'autres secteurs ont également mis en place des initiatives intéressantes. On peut également citer le cas de la santé et en particulier des hôpitaux publics. Le secteur a fait la Une de quelques journaux l'année dernière suite à des attaques assez impactantes. Il essaie de « muscler » son arsenal de défense et la CAIH (Centrale d’Achat de l’Informatique Hospitalière) construit des solutions mutualisées pour les hôpitaux adhérents.

 

Un nouveau marché ?

La sécurité de l'écosystème est clairement un sujet qui connaît un regain d’attention. Il devient un sujet qui intéresse le marché des offreurs de solutions. Vous ne souhaitez plus multiplier les fichiers Excel pour suivre la sécurité les fournisseurs ? Le marché a surement une solution pour vous ! Face à cette thématique en pleine ébullition, il est difficile d’être exhaustif. Voici un premier tour d'horizon de certaines de ces solutions.

 

Notation Cyber & KPI associé

 

Description : Il s'agit de solutions qui se proposent de donner une notation cyber d'une organisation données, comme c’est fait par les agences de notation dans le monde financier. On dispose alors de notes qui peuvent être facilement partagées et interprétées par le top management. Ces solutions ne sont pas pensées exclusivement pour l'écosystème ; elles peuvent être pertinentes pour un groupe et ses filiales. Elles peuvent également apporter une réponse à la question qui tue : “quel est le bon indicateur pour le board ?”

 

On aime : “Moi je ne travaille qu’avec des A+ ! Le fournisseur brésilien est passé C-, il faut l’auditer !” C’est pratique, c’est très parlant.

 

On aime moins : Comment ça marche au juste ? Si la solution n’est pas intrusive, comme c’est souvent promis, elle se base sur quoi ? La bonne gestion du certificat SSL du site institutionnel et la configuration de quelques champs DNS sont-ils des garants suffisants ? Attention à la couverture de l’analyse et l’exhaustivité des contrôles réalisés !

 

Scanner & Contrôle automatique

 

Description : Nos bons vieux scanners de vulnérabilités ont toujours la côte. Ils permettent assez facilement de vérifier l'état d'hygiène Sécurité opérationnelle de tout ou partie des composants exposés par un tiers. Et pour certains acteurs, le scanner se complète désormais d'un module de questionnaire à destination des fournisseurs !

 

 

On aime : ce sont des solutions que l'on maîtrise bien et dont on connait les avantages et les inconvénients. Elles ont évolué pour s'adapter à de multiples périmètres techniques (serveur, application, instance dans le cloud, container, etc.).

 

On aime moins : Comment faire pour regarder ce qu'il y a à l'intérieur et pas uniquement ce que le fournisseur expose à son client ? Que faire des vulnérabilités identifiées ? Quel outil pour le suivi et le partage des infos avec l’écosystème ?

 

Solution « tout-en-un »

 

Description : Solutions arrivées plus récemment sur le marché, ce sont des suites “tout-en-un” dédiées à la sécurité des tiers. On y trouve à la fois le générateur de questionnaires mais aussi l’outil de contrôle continu qui va permettre de vérifier dans la durée que le niveau de sécurité est toujours atteint.

 

On aime : Une suite de solutions pensées pour ce problème ! La solution idéale pour le responsable Cyber qui a détaché une ressource sur le sujet de la sécurité de l’écosystème ?

 

On aime moins : Qui trop embrasse mal étreint ?... Le RSSI a-t-il encore de la place sur son bureau pour un outil de plus ? Quid de l’intégration dans d’autres solutions de pilotage ou d’hypervision ?

 

Focus sur Cybervadis

Le principe est simple : décliner à la Cyber ce que la société Ecovadis a fait pour le RSE, une plateforme collaborative de notation de la responsabilité sociétale (RSE) des entreprises. Chaque fournisseur remplit le questionnaire et les acheteurs n’ont qu’à consulter ces questionnaires… Bien sûr l’un comme l’autre est payant. Il faut bien un business model ! Si la communauté Cyber adhère et accorde sa confiance à cette plateforme, elle pourrait bien résoudre l’épineux problème des questionnaires Fournisseurs – dès lors, une fois de plus, que l’on accepte de se limiter à une approche déclarative.

 

 

Pour conclure

Gérer la sécurité de son écosystème est une activité à part entière ! Avec le recours de plus en plus important au service externalisé, avec des modes de travail qui mettent en avant le collaboratif et la co-construction, cela pourrait même devenir l'activité principale du responsable Cyber.

 

Il faut donc s'attacher à définir une stratégie en la matière et à outiller les différents contrôles qu'il faudra mettre en place. Face à la diversité des activités que cela représente, il pourra être intéressant de mettre en place un centre de service dédié à la problématique. Ce sont des activités unitaires relativement simples. Le challenge réside dans l'orchestration et le suivi de toutes ces opérations - face à la multitude d'acteurs concernés.

 

Le recours à un centre de service prend alors tout son sens. La problématique est ainsi gérée de A à Z par une entité - interne ou externe - concentré sur ce sujet ! Nous aurons l’occasion d’en reparler. Et d’ici là, n’hésitez pas à nous contacter pour creuser le sujet.

 

A LIRE

Maitriser les risques de l’infogérance - ANSSI

La sécurité des données personnelles - Guide CNIL

 

Benjamin Leroux, Innovation & Marketing, Advens