Les économies du monde entier ont été gravement touchées par les fermetures, les licenciements et autres conséquences perturbatrices de la pandémie de Covid-19. Alors que le déconfinement commence lentement au Québec, diverses industries se bousculent pour reprendre leurs activités afin de survivre dans un environnement en pleine mutation. Cela pourrait les obliger à recourir à de nouveaux prestataires de services, fournisseurs et sous-contractants pour répondre aux besoins urgents de leur chaîne d'approvisionnement.
Étant donné que les affaires sont principalement menées via Internet, ces nouveaux partenariats comportent des risques importants puisqu’ils représentent pour les cybercriminels un point d’entrée privilégié pour infiltrer indirectement les entreprises et ainsi compromettre leurs systèmes d'information.
Comment votre organisation peut-elle se prémunir contre cette menace redoutable?
Dans le cours normal des affaires, les entreprises établissent régulièrement des relations contractuelles avec des tiers pour répondre à divers besoins qu'elles ne peuvent pas satisfaire ou qu’elles ont choisi d'impartir à l’externe (production de pièces, transport, surveillance, programmation et maintenance des systèmes de contrôle, etc.). Afin de gagner du temps et de réduire les coûts, cette délégation oblige souvent les industries à fournir un accès à distance à leurs systèmes d'information.
Pourtant, ce recours à l’impartition à l’externe ne doit pas être traité à la légère, en particulier en temps de crise, car il peut nuire gravement aux organisations.
En en effet, en permettant l'accès à distance à leurs réseaux et systèmes critiques (via VPN ou par des moyens beaucoup moins sécurisés), les organisations finissent par importer les risques de responsabilité associés aux activités des tiers avec lesquelles elles contractent.
When an organization establishes a third-party vendor relationship, it takes the security practices of the vendor into its own risk profile. This risk should receive special consideration. Giving third parties access to an organization’s own systems or data inherently compromises the systems and exposes the data to the security vulnerabilities of a third party’s business systems and processes.
Plus précisément, en accordant une certaine forme d'accès à leurs réseaux et systèmes de données, les industries permettent ainsi le contournement de tous leurs mécanismes de défense et s'exposent par le fait même à toutes les vulnérabilités liées à Internet pour lesquelles leurs sous-traitants pourraient être mal protégés (vers, virus, rançongiciels, etc.). En outre, l'accès sans restriction aux systèmes d'information expose les données sensibles au risque d'être volées, détruites ou falsifiées. En cas de cyberattaque ou de compromission des données, et considérant que les intrusions (et autres accès illicites) sont généralement difficiles à détecter, une entreprise peut s’attendre à de sérieuses perturbations au niveau des opérations et de sa chaîne de production.
Pour illustrer cela, le piratage de la société Target constitue un exemple frappant. En 2013, des cybercriminels ont infiltré les systèmes d'information de Target pour y voler les renseignements d’environ 40 millions de comptes de cartes de débit et de crédit de ses clients et utilisateurs. Or, ce méfait aux graves répercussions a été causé par le simple vol des informations d'identification appartenant à une entreprise de CVC qui effectuait une surveillance en ligne de la température et de la consommation dans divers magasins Target... La mauvaise gestion de cet incident combiné à la négligence de Target de voir à limiter l'accès aux données sensibles de ses systèmes d'information ont été exploitées par les attaquants qui en ont profité pour infecter les systèmes de point de vente de Target à travers les États-Unis.
Inutile de dire que ce piratage a eu des répercussions dévastatrices sur les opérations, la réputation, la responsabilité et la valeur des actions de Target. En effet, celle-ci a dû composer avec de nombreuses réclamations en dommages et intérêts, payer des amendes pour non-conformité, assumer des coûts de surveillance pour les comptes de millions de clients touchés par la compromission de leurs données, sans mentionner le temps et les coûts considérables qu’elle a dû absorber pour l’intégration des nouvelles technologies afin de regagner la confiance de leurs clients et autres parties prenantes.
Au fil des ans, la responsabilité civile des industries engagée par le fait de tiers est devenu un phénomène en pleine croissance. Juste avant la pandémie, on estimait que 53% des entreprises avaient connu une ou plusieurs violations de données causées par un tiers. Comme l'a souligné Jake Olcott à la suite du récent piratage de Mitsubishi Electric (janvier 2020) provoqué par une société affiliée et où des données liées à la défense ont été exposées, la responsabilité civile par le fait de tiers est un facteur de risque sérieux:
(…) organizations must recognize that their third parties can create risk to themselves and their core operations. Actively measuring and managing third-party cyber risk is not a ‘nice to have’ – it’s a necessity to modern businesses.
À la lumière de ce qui précède, il est essentiel que les entreprises se dotent de mécanismes efficaces pour minimiser leurs risques lors de la sélection de fournisseurs de services et autres nécessitant un accès à leurs systèmes d’information compte tenu de l'importance pour toute industrie de pouvoir garantir l'intégrité de la chaîne d'approvisionnement de bout en bout, surtout en cette période de pandémie qui connaît une recrudescence en matière de cybercriminalité.
Pour aider à contrer cette menace, les organisations peuvent envisager diverses options: 1) élaborer des politiques appropriées de gestion des données et de contrôle d'accès, 2) effectuer des examens de diligence raisonnable de tous les tiers potentiels (historique, normes de sécurité, politiques de protection et de confidentialité des données, cyber-hygiène, transparence en cas de violation, etc.), 3) effectuer une analyse approfondie des risques (entrants, chaîne d'approvisionnement, sortants), 4) rédiger des contrats comportant des clauses spécifiques pour minimiser les risques inhérents aux fournisseurs tiers, et 5) se doter d’une police d’assurance couvrant les risques prévisibles.
Il est clair que faire affaire avec des tiers peut compromettre la disponibilité et l'intégrité des données dont les industries dépendent pour opérer. Il est donc essentiel pour celles-ci de prendre les mesures qui s’imposent pour s’assurer que ces partenariats protègeront adéquatement leur chaîne d'approvisionnement et contribueront à leur pérennité et leur réussite économique.
[1] Tels que les systèmes de contrôle industriels (SCI) utilisés dans les secteurs de la fabrication et de l'énergie et des services publics, ou les systèmes de contrôle, supervision et d'acquisition de données (SCADA) utilisés pour surveiller les systèmes de ligne de production des usines;
[2] VPN: réseaux privés virtuels (via le «tunneling»); ils permettent aux organisations de partager en toute sécurité des données entre les appareils sur Internet;
[3] Cybersecurity: Managing Risk in the Information Age, Module 6, Unit 3, Mitigating third-party risks, 2018, Harvard’s VPAL;
[4] C’est-à-dire des renseignements relatifs à l’identification de personnes, la propriété intellectuelle, les secrets commerciaux ou d'autres types d’informations confidentielles;
[5] Target est l'une des plus grandes sociétés de vente au détail aux États-Unis;
[6] https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/
[7] Informations d'identification: informations confidentielles (telles que les noms d'utilisateur et les mots de passe) utilisées pour vérifier l’identité et assurer le contrôle d'accès à divers systèmes;
[8] CVC: Chauffage, ventilation et climatisation;
[10] https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/
[11] https://www.normshield.com/major-third-party-data-breaches-revealed-in-january-2020/
[12] https://www.cisomag.com/japan-confirms-defense-data-breach-after-cyberattack-on-mitsubishi-electric/