Banalisée, cette pratique n’est pas dénuée de risques sur le plan cyber. Une enquête menée par Ponemon Institute en 2022 auprès de plus de 1000 professionnels IT a montré que près de 60% des entreprises ont connu une fuite de données directement causée par l’un de leurs prestataires sur les 12 derniers mois. 

La récente attaque sur le CHU de Rennes illustre bien ce risque : le centre hospitalier a dû couper toutes ses connexions avec l’extérieur le 21 juin dernier suite à la détection d’une attaque menée à partir d’un compte VPN créé pour qu’un éditeur de logiciel puisse mener à distance la maintenance de son application.

C’est ce que l’on appelle le risque « Third-Party » ou risque lié aux tierces parties, qui progresse rapidement, car la sous-traitance fonctionne en cascade : le sous-traitant fait lui-même appel à d’autres entreprises pour réaliser certaines tâches et le risque cyber se propage ainsi tout au long de cette chaîne. 

La même étude Ponemon Institute montre que 54% des entreprises ont connu une fuite de données engendrée par une attaque chez un sous-traitant de rang 1, et 38% par une attaque chez un sous-traitant de rang 2 et plus.

Les prestataires sont devenus une cible de plus en plus privilégiée par les pirates informatiques. Ce changement d’objectif s’explique très simplement : plus on descend dans la pyramide des sous-traitants, plus il s’agit d’entreprises de petite taille qui ne disposent pas toujours de RSSI, et parfois pas de DSI du tout. 

De facto, leurs moyens de protection sont extrêmement limités. Les attaquants n’ont aucun mal à trouver des vulnérabilités encore ouvertes dans leur système de messagerie ou sur leurs serveurs. 

L’exemple le plus frappant est celui d’un acteur majeur de l’armement dont le système d’information est extrêmement protégé, mais qui s’appuie sur des milliers de partenaires dans ces processus industriels. Le responsable Gouvernance Cybersécurité Groupe de Naval Group évoquait cette problématique lors de l’édition 2023 du FIC, soulignant que le géant français de l’armement naval faisait appel à de très petites TPE et qu’il devait désormais gérer ce risque cyber.

Le risque lié au « Third-Party » est clairement celui de voir des données confidentielles dérobées par l’attaquant. Confier des données à un tiers est fréquent lorsque plusieurs entreprises travaillent sur un même projet. Les attaquants vont accéder à ces données chez le partenaire le moins bien protégé.

En 2019, le prestataire Citycomp se faisait voler 516 Go de données, soit 300 000 fichiers contenant des données de ses clients, parmi lesquels Volkswagen, Airbus, Oracle, SAP, Unicredit. Au même moment, plusieurs ESN (Entreprise de Services du Numérique) prestataires chez Airbus ont été victimes de cyberattaques. La véritable cible des attaquants était évidente.

Outre le vol direct de données, l’attaquant peut s’infiltrer chez un prestataire pour mener une attaque par rebond. Il va exploiter les droits accordés au prestataire sur tel ou tel serveur de fichiers, telle ou telle API pour mener l’attaque en direction de sa véritable cible. Une simple adresse email légitime chez le prestataire peut lui suffire pour envoyer un email de « spear phishing », une attaque par hameçonnage tout particulièrement conçue pour une cible précise.

L’objectif de l’attaquant peut aussi être de simplement déstabiliser la Supply Chain de l’entreprise en injectant des données erronées dans ses systèmes. Il peut aussi vouloir détruire un maximum de fichiers ou tout simplement porter atteinte à l’image de sa cible en bloquant ses systèmes et ainsi, la contraindre à communiquer publiquement sur l’attaque.

L’attaque sur l’éditeur Solarwinds en 2020 est un véritable cas d’école du danger que représente une attaque sur un sous-traitant de la Supply Chain IT. Les attaquants ont réussi à installer un virus dans le système de mise à jour d’Orion, son logiciel de monitoring à distance des installations informatiques. Or ce logiciel est exploité par des milliers d’entreprises dans le monde. L’éditeur évoquait alors le chiffre de 18 000 clients touchés par l’attaque dont 425 grands comptes du Fortune 500 ainsi que de nombreuses organisations publiques dont le gouvernement américain. Une fois le malware installé via une mise à jour d’Orion, les systèmes informatiques de toutes ces organisations étaient virtuellement accessibles aux attaquants.

Traiter le risque lié aux prestataires n’est pas simple. Une grande entreprise peut compter plusieurs milliers de sous-traitants dans le monde et sa DSI n’a pas de pouvoir direct sur les pratiques de sécurité chez ces derniers.

Un premier levier d’action est contractuel. L’entreprise peut définir un certain nombre d’obligations dans les contrats qu’elle signe avec ses fournisseurs. La Commission Européenne propose des clauses types à intégrer aux contrats pour le volet protection des données personnelles. Cela permet de rappeler au sous-traitant ses obligations et s’assurer de sa conformité au RGPD.

Une DSI doit intégrer à ses contrats des clauses cyber très pragmatiques comme tout simplement faire mentionner le nom de la personne et de son suppléant à appeler d’urgence en cas de cyberattaque. 

Des contraintes techniques peuvent être définies par contrat, telles que : 

L’entreprise peut aussi imposer à son partenaire un droit d’audit de ses systèmes si celui-ci est particulièrement critique dans ses process.

L’approche contractuelle est un prérequis, mais une signature au bas d’un contrat ne repoussera pas les attaquants. Il est impossible pour une entreprise de se contenter de ce levier :  elle doit disposer d’une idée plus précise de la maturité cyber de ses partenaires.

L’approche la plus fréquente est de demander à la direction des achats d’envoyer un questionnaire de sécurité avant de référencer un nouveau fournisseur.

Ces questionnaires comptent bien souvent des dizaines questions. L’objectif est pour un RSSI de se faire une idée des mesures de protection en place : 

L’inconvénient ? Ces questionnaires sont parfois très détaillés et les fournisseurs peuvent avoir tendance à surestimer leur niveau de sécurité pour décrocher un nouveau contrat. En outre, cette pratique s’étant généralisée, ce sont des dizaines de questionnaires de ce type qu’une entreprise reçoit chaque année et le temps accordé à la rédaction des réponses dépend beaucoup de la taille du demandeur.

Il est impossible d’envoyer ses équipes cyber auprès de centaines, voire de milliers de prestataires pour vérifier leur architecture de sécurité. 

Seuls quelques prestataires critiques peuvent être visités chaque année. Or si on se base sur le fait que l’attaquant va exploiter le maillon le plus faible pour atteindre son objectif, un grand donneur d’ordre doit étoffer sa stratégie d’audit, d’un volet relatif aux PME.

Un véritable marché dédié à répondre à ce besoin est né ces dernières années, celui du Third-Party Cyber Security Risk Assessment, c’est-à-dire la gestion du risque lié à ces tierces parties. Leur modèle est de répliquer le système de notation financière des entreprises dans le monde de la cybersécurité. Une note de sécurité est attribuée à chaque fournisseur. Certains prestataires réalisent une évaluation purement technique de la sécurité de chaque entreprise en scannant les données disponibles sur le web.

Cette approche automatisée est un moyen de couvrir un grand nombre d’entreprises, mais celle-ci se limite à la partie émergée de l’iceberg ; on n’évalue que la face visible des systèmes informatiques depuis Internet et non pas ses équipements et process internes.

Ces prestataires peuvent aussi prendre en charge l’envoi des questionnaires de sécurité à l’ensemble des parties tierces de leur client. 

Ceux-ci compilent l’ensemble des réponses, analysent les résultats et produisent un reporting global et détaillé. Certains mettent à disposition des consultants qui vont vérifier la cohérence et la véracité des réponses en appelant chaque répondant.

Quelle que soit la solution choisie ou plutôt la combinaison de solutions retenues, il est aujourd’hui impossible de négliger ce risque lié aux tierces parties. De plus en plus, les grandes entreprises vont sélectionner leurs fournisseurs en fonction de leur maturité cyber et celles qui ne disposent pas des moyens de protection et de chiffrement les plus modernes se verront barrer l’accès à de nombreux clients potentiels.