Prestataires informatiques : des carences en matière de cybersécurité

Pour les cybercriminels, les prestataires IT sont une excellente porte d’entrée pour accéder aux clients de ces dernier. Les cas en la matière sont multiples en termes de cyberattaques : Solarwind, Winbizz, Kaseya, Xplain, Entrust, Akka Technologies.

Les cybercriminels utilisent le phishing pour accéder au prestataire informatique puis aux systèmes d’une entreprise cliente. Ils injectent un code malveillant et compromettent les clients pour récupérer des données stratégiques ou personnelles, qu’ils pourront revendre. Ils essaieront aussi d’obtenir une rançon contre la garantie de ne pas les publier.

Autre technique : les pirates informatiques peuvent cibler les VPN (réseau privé virtuel) de ces prestataires et, une fois à l’intérieur du réseau privé, ils se font passer pour ces sous-traitants et peuvent accéder au système informatique de leurs clients.

C’est après l’attaque que les clients se posent la question de la fiabilité de leurs prestataires. Et c’est souvent trop tard, les conséquences peuvent être importantes, par exemple quand une entreprise ne peut plus facturer ses clients, et payer à temps ses salariés, si les bases de données sont perdues et le système comptable inaccessible. La seule solution temporaire est de retourner aux opérations manuelles : prise de commandes, facturations, livraison…

Pour les clients, c’est potentiellement grave. Pour les ESN aussi en termes de réputation (perte de confiance et pertes de clients), en termes juridiques (risques de litiges et recherches en responsabilités), et en termes financiers (interruption des services et pertes d’exploitation).

La cybersécurité ne se limite pas au périmètre de l’entreprise, mais concerne ses fournisseurs et sous-traitants, notamment dans le domaine IT. Ce qui implique de connaître leur maturité en matière de sécurité, les dispositifs mis en place et aussi l’évolution de ces mesures. Le risque est systémique, la protection et la détection sont donc un travail d’équipe.

« Par expérience, les trois points clés de la bonne prise en compte par les entreprises suisses des enjeux de cybersécurité dans la relation avec leurs prestataires informatiques sont : d’intégrer le niveau de cybersécurité comme critère de sélection de vos fournisseurs en s’appuyant par exemple sur des outils de scoring cyber ; d’insérer des clauses spécifiques à la cybersécurité dans la négociation des contrats; de mener des audits réguliers de vos prestataires pour vérifier la bonne application des politiques de sécurité », détaille Romain Queinnec, Head of Switzerland, Austria and Eastern Europe Channels pour Orange Cyberdefense.

Les PME particulièrement visées

Les PME pourraient avoir tendance à se reposer sur leur prestataire IT pour la gestion de leur parc informatique, leur maintenance et la sécurité des données et du système entier. Et ce sans avoir défini la répartition des responsabilités. Confier les opérations à un prestataire IT est une mesure qui peut avoir du sens, mais externaliser ces services nécessite de prendre des précautions.

Il convient d’identifier les rôles de chacun concernant les essentiels techniques : gestion des accès et des mots de passe, journalisation, sauvegardes, configuration des postes de travail… L’établissement de règles pour les utilisateurs peut difficilement être sous-traité à un prestataire externe. Ce dernier n’a pas d’autorité dans l’organisation et ne connaît pas les processus en place, l’activité et les priorités.

Les affaires successives relatées par les media aident à la prise de conscience : d’une part les prestataires informatiques doivent améliorer leur niveau de sécurité interne, les compétences de leurs collaborateurs, veiller à la sécurité de leurs propres prestataires, ainsi que les liens avec leurs écosystèmes (clients, fournisseurs, sous-traitants, partenaires…).

D’autre part, les clients ne peuvent pas dire qu’ils ne sont plus responsables à partir du moment où ils ont externalisé des prestations. Pour autant, l’externalisation est nécessaire, notamment quand les compétences en interne sont absentes ou insuffisantes. Il est impossible d’y échapper pour certaines prestations. La qualité de la sécurité est donc un critère important dans le choix des prestataires.

En Europe, de nouvelles obligations de sécurité

Ces menaces grandissantes ont été prises en compte par l’Europe, qui a établi de nouvelles obligations de sécurité (directive NIS2 ). Les ESN de plus de 50 salariés doivent désormais notifier dans les 24 heures tout incident pour éviter que les attaques se propagent. Ces ESN, comme toute entreprise, doivent impérativement mettre en place une politique de sécurité : sauvegardes, gestion des accès, authentification forte, surveillance des réseaux, cloisonnement entre les clients, supervision des connexions internes et externes…

Des labels comme CyberSeal (Alliance Sécurité Digitale Suisse), certifications (PASSI, SecNumCloud en France) existent. Ils permettent d’auditer les dispositifs de sécurité des prestataires et de rassurer les clients. Le choix du prestataire, que ce soit pour l’hébergement, l’infogérance, la maintenance, ou l’éditeur d’un logiciel ou l’audit, nécessite d’apprécier les dispositions prises pour répondre aux exigences de sécurité pendant toute la durée du contrat : les procédures, le stockage de données, l’organisation, les accès, la formation des experts.

Concernant les applications, s’assurer de la qualité du dispositif de sécurité est également essentiel : application de correctifs par les éditeurs, sécurité des développements, accès aux fonctions d’administration. Les opérations de télémaintenance sont un point de vigilance et exigent des mesures relatives aux autorisations d’accès (qui, quand, comment, traçabilité).

De façon générale, la question de la réversibilité doit être inscrite dans le contrat par le client. Tout autant que la gestion de crise : délai d’alerte, mesures en cas d’incident chez le prestataire, chez le client, droits d’audits, assurances.