Cybersécurité 101 : sécurité de vos fournisseurs et collaborateurs tiers

Cyberattaques les plus courantes

Commençons par un bref rappel des cyberattaques les plus courantes. Si vous avez mis en place un mode opératoire et des dispositifs de contrôle adaptés au sein de votre entreprise, vous êtes déjà au fait de ces menaces. Appliquez la même rigueur aux systèmes de vos fournisseurs.

• Piratage psychologique : Ce type d’attaques prend le plus souvent la forme de courriels d’hameçonnage. Des escrocs se font alors passer pour des personnes ou des parties dignes de confiance dans le but de voler de l’information sensible. Aujourd’hui, les cybercriminels ont diversifié leurs outils (codes QR, messagerie Teams, WhatsApp, textos, etc.), mais les tactiques et les techniques restent identiques. Ces procédés peuvent être utilisés conjointement avec d’autres méthodes, comme la fraude du président ou la fraude au soutien technique.
• Rançongiciel : Ce logiciel dangereux peut verrouiller les données de votre entreprise et vous empêcher d’y accéder jusqu’au versement d’une rançon. D’après la définition de la Gendarmerie royale du Canada (GRC), le rançongiciel est un « type de logiciel malveillant qui crypte les données de l’utilisateur, qui est ensuite sommé de verser une rançon pour les récupérer ».
• Maliciel : Il s’agit d’un logiciel malveillant conçu pour s’infiltrer dans votre entreprise, altérer vos données et endommager de façon irréversible vos systèmes (ou permettre à un tiers d’accéder en toute discrétion à de l’information sans votre consentement). La GRC le définit comme un « logiciel créé pour endommager un ordinateur, un serveur ou un réseau. Il peut endommager des systèmes ou permettre au pirate d’obtenir un accès non autorisé. »

Il ne s’agit là que d’un échantillon des menaces informatiques les plus courantes. Chacune d’elles peut en outre se décliner de plusieurs façons. Vous connaissez déjà l’importance de la cybersécurité pour votre entreprise. Voyons maintenant comment appliquer le même degré d’exigence à la sécurité de vos fournisseurs.

Conseils pour surveiller les pratiques de vos fournisseurs et protéger votre entreprise

1. Souciez-vous des questions de cybersécurité dès la signature du contrat

Les contrats ponctuent la vie de toute entreprise prospère. Assurez-vous d’encadrer aussi la cybersécurité de vos fournisseurs. Pour ce faire, il est essentiel de prévoir des dispositions non négociables en matière de cybersécurité dans vos ententes avec vos prestataires. Vous serez ainsi en position d’évaluer leurs pratiques et d’exiger la mise à jour de leurs mécanismes de contrôle.

2. Assurez-vous que les dispositifs de sécurité de vos fournisseurs sont à jour

La cybersécurité n’est pas un acquis et les pirates inventent sans cesse de nouveaux moyens pour contourner les contrôles en place. Le monde numérique est en constante évolution et ce risque est inévitable. Cependant, il est possible de l’atténuer grâce à des mises à jour régulières. Demandez à vos fournisseurs d’actualiser fréquemment leurs dispositifs de cybersécurité pour s’assurer qu’ils bénéficient encore d’une protection optimale.

3. Mettez en place des processus communs

Si votre entreprise dispose déjà d’un cadre de cybersécurité solide (à défaut, faites-en une priorité absolue), étendez ces normes à vos fournisseurs. Travaillez avec eux pour établir des processus communs et vérifier leur conformité. C’est ainsi que vous pourrez mettre en place un mécanisme clair et vous assurer de la validité de leurs choix.

4. Misez sur l’authentification multifactorielle

L’adoption de l’authentification multifactorielle est une mesure simple, mais capitale. Cette pratique devrait avoir cours tant dans votre entreprise que chez vos fournisseurs. Il s’agit en effet d’un excellent moyen de protéger l’ensemble des plateformes et identifiants qu’ils utilisent.

5. Limitez l’accès à votre base de données

Permettez à vos fournisseurs d’accéder uniquement aux données dont ils ont besoin pour faire leur travail. Vous limiterez ainsi les connexions externes à vos bases de données, notamment celles qui contiennent de l’information sensible. Si vous devez délivrer une autorisation d’accès, déployez votre propre dispositif de cybersécurité afin de mettre en place les contrôles adéquats. Pensez enfin à retirer ces autorisations quand elles deviennent inutiles.

6. Exigez l’utilisation d’un système de cryptage et de mots de passe sécurisés

Demandez à vos fournisseurs d’utiliser eux aussi des phrases de passe sécurisées et un système de cryptage bien configuré. Exigez en outre que ces phrases de passe soient mises à jour à intervalles fixes selon des normes de complexité établies.

7. Souscrivez une assurance cyberrisques

Malgré toutes ces précautions, vous et vos fournisseurs n’êtes pas à l’abri d’une cyberattaque. Il est donc essentiel de souscrire une assurance cyberrisques pour protéger votre entreprise, en cas de brèche informatique chez un tiers.

Que faire en cas de violation de la sécurité chez un fournisseur ou un collaborateur tiers?

En dépit de votre vérification diligente et de tous vos efforts, il se peut que l’un de vos fournisseurs soit victime d’une violation de données ou d’une cyberattaque. Dans ce cas, renseignez-vous au plus vite sur la nature exacte des événements et sur l’état actuel de la situation. Vous serez ainsi mieux outillé pour prendre des décisions éclairées à mesure que vous suivrez l’intervention en cours. Voici des mesures essentielles qui doivent figurer dans votre propre plan d’action en cas de brèche de sécurité chez un fournisseur :

1. Sécurisez votre environnement et restez à l’affût d’éventuelles intrusions.
2. Changez les phrases de passe de tous les comptes et validez avec vos personnes-ressources les nouveaux processus associés aux systèmes et aux logiciels de ce fournisseur.
3. Communiquez immédiatement avec les parties concernées (assureur, service juridique, service informatique, etc.) qui figurent dans votre plan d’intervention – en cas de préjudice au Canada, contactez votre service de police local et signalez l’incident ici : https://www.cyber.gc.ca/fr/cyberincidents.
4. Vérifiez que votre fournisseur a adopté un plan efficace afin de remédier à toute vulnérabilité et demandez-lui de vous tenir régulièrement au courant.
5. Informez vos clients en cas de violation de leurs propres données.

Une fois le problème résolu, il vous appartiendra d’examiner les circonstances exactes de cette brèche informatique et les mesures mises en place par votre fournisseur. A-t-il fidèlement suivi vos processus communs? Ses dispositifs de cybersécurité étaient-ils à jour? Cette violation de sécurité était-elle évitable? À l’issue de cette analyse, vous pourrez décider de poursuivre ou non votre partenariat avec votre prestataire.

Nous sommes là pour vous aider!

La protection de votre entreprise contre les cyberattaques est déjà un combat de chaque instant. Alors, vous vous demandez sans doute comment surveiller aussi les dispositifs de cybersécurité de vos fournisseurs et de vos collaborateurs tiers. Sachez que MNP se tient à vos côtés. Nous pouvons vous aider à protéger votre entreprise et à élaborer les pratiques de cybersécurité les plus strictes pour vous et vos fournisseurs. Communiquez avec notre équipe pour obtenir le soutien dont vous avez besoin.