Lorsqu'on travail avec des tiers, quelle gestion des risques employer ?

Une étude du Ponemon Institute parue en mai 2021 affirme que 51% des entreprises ont déjà été victimes de fuites de données du fait de leurs sous-traitants. Cette situation, qui illustre un des nombreux enjeux de cybersécurité pour les entreprises en 2021, montre la nécessité de prioriser la gestion des risques cyber liés aux tiers.

Le sujet de la gestion des risques cyber est l’objet d’une attention croissante ces dernières années. Les entreprises qui ont investi dans des programmes de ce type se sont montrées plus résilientes à la crise du COVID-19. Elles se prémunissent à la fois d’un risque opérationnel, mais aussi des risques juridiques liés au respect du règlement européen sur la protection des données (RGPD), et donc de risques légaux et financiers.

Gestion des risques liés aux tiers en cybersécurité : de quoi parle-t-on ?

Dans le domaine de la cyber sécurité, la gestion des risques liés aux tiers trouve sa nécessité dans l’adoption massive du modèle de l’entreprise étendue.

Enjeux cyber liés à l’entreprise étendue

Cela fait maintenant presque 30 ans que le modèle de l’entreprise étendue s’impose dans nos sociétés. Le constructeur automobile Chrysler fut effectivement le premier à l'adopter. L’entreprise étendue s’appuie sur la digitalisation de ses processus pour faire évoluer la relation avec ses partenaires. En tant qu’entreprise « pilote », elle crée la valeur ajoutée, tandis que des sociétés tierces prennent en charge les compétences qu’elle ne détient pas.

Ces prestataires interagissent avec la société pilote grâce à de nouveaux modes de partage d’informations numériques. Réseaux informatiques, logiciels, systèmes de messageries et d’échanges de données : l’entreprise étendue se caractérise par le partage digitalisé des informations et des processus.

Ce large écosystème de partenaires a l’avantage de créer de nouvelles synergies, porteuses de croissance. Il constitue aussi un vaste terrain d’émergence de risques cyber. Chaque partenaire incarne effectivement un point d'entrée potentiel pour les cyberattaques.

Qu’est-ce que le risque lié au tiers en cybersécurité ?

Chez C-Risk, notre méthode de gestion des risques et de mesure des vulnérabilités et contrôles de cybersécurité repose sur le standard FAIR™. Selon ce dernier, le risque se définit comme un événement incertain, capable de générer une perte liée à un actif. Cette perte se caractérise par son niveau de probabilité. Le risque devient donc “la fréquence probable et la magnitude probable de la perte future”.

En cybersécurité, les risques sont divers et varient selon chaque entreprise. Les risques cyber liés aux tiers restent cependant assez récurrents :

• fuite de données confidentielles ;
• indisponibilité des services, par exemple dans le cas d'une cyberattaque au rançongiciel ;
• espionnage industriel ;
• attaque par rebond, c’est-à-dire par le biais de sous-traitants moins bien protégés que la société pilote ;
• amende par manque de conformité aux différentes réglementations.

Le risque cyber liés aux tiers relève donc du risque opérationnel, mais aussi du risque financier, réputationnel, juridique et réglementaire.

Qui sont les tiers en cybersécurité ?

En termes légaux, le tiers, ou l’entreprise tierce, désigne la personne morale extérieure à une relation, par exemple une entreprise partenaire. Les tiers recoupent donc de nombreuses parties prenantes extérieures de l'entreprise :

• fournisseurs ;
• cotraitants et sous-traitants ;
• distributeurs ;
• franchisés ;
• consultants et experts ;
• partenaires ;
• clients ;
• assurances.

Évidemment, les acteurs qui constituent les tiers divergent selon les sociétés. Leur identification dépend toujours de l’analyse des risques cyber et de la stratégie de cybersécurité mises en place. Celles-ci restent indispensables pour que le microcosme de sociétés installé pour compléter les compétences de la société pilote ne menace ni ses activités, ni sa réputation.

Comment se traduit la gestion des tiers dans l'entreprise ?

La gestion des risques liés au tiers, ou Third-party risk management (TPRM) en anglais, consiste à définir puis exécuter une procédure de prévention continue. Dans ce domaine, il s’agit effectivement plus de prévenir que de guérir. Cette démarche nécessite de centraliser la gestion et la surveillance du réseau et des processus informatiques développés avec les sociétés tierces.

Ce travail peut donc nécessiter de mobiliser un ou une responsable de la gestion des risques cyber liés aux tiers. Il peut s'agir du risk manager, ou de la direction des systèmes d’information (DSI). Plusieurs corps de métiers vont cependant être amenés à interagir dans ce domaine :

• la DSI s'exprime, bien sûr, sur les logiciels ou modes de communication digitaux qu’elle juge insuffisamment sécurisés ;
• la direction générale peut alerter quand le changement de gouvernance d’un partenaire invite à reconsidérer sa fiabilité informatique ;
• La direction des affaires juridiques scanne la conformité réglementaire des tiers.

Quelles méthodes pour gérer et anticiper le risque lié aux tiers ?

Il existe diverses méthodes pour gérer le risque cyber lié aux tiers. Toutes s'appuient sur une vérification du sérieux de la société tierce, doublée d’un suivi de l'évolution du risque au cours de la relation commerciale.

L’analyse du risque lié au tiers façon C-Risk : l’analyse C-I-A

Chez C-Risk, notre analyse des risques liés aux tiers découle de la méthode Fair Analysis. Cette méthode recommande notamment de commencer par déterminer la portée du risque encouru, c’est-à-dire l’“événement de perte” éventuel.

Cette identification nécessite d'identifier votre actif à risque, c’est-à-dire ce qui, dans votre entreprise, peut perdre de la valeur ou engager votre responsabilité s’il est affecté. Il s’agit ensuite également d'identifier quel serait dans ce cas l’acteur de la menace. D’où la nécessité de faire l’inventaire des fournisseurs avec qui des échanges de données existent.

Enfin, il convient également d’identifier l’effet de ce risque, qui peut être de trois ordres, selon le modèle C-I-D (en anglais C-I-A) :

• C comme confidentialité, un effet directement lié aux impératifs de conformité réglementaire, notamment dans le cadre du règlement européen sur la protection des données (RGPD) ;
• I comme intégrité ;
• D comme disponibilité (availability en anglais) des éléments critiques de la production de valeur.

La deuxième étape de ce processus consiste à évaluer la probabilité de ce risque en termes d’ampleur de la perte financière potentielle qu’il implique, et de fréquence des pertes. En dernière instance, il s’agit de rencontrer les fournisseurs les plus à risque pour les interroger quant à leurs politiques de réduction des risques cyber. Certains tiers seront plus à risque du fait de :

• leur activité, par exemple une solution de paiement en ligne ;
• de leur zone géographique ;
• de leur niveau d’accès autorisé à vos serveurs critiques, votre système d’information et à vos données.

Et si le risque cyber est particulièrement prononcé chez les entreprises tierces ?

Ce type de méthodes implique quelques démarches indispensables :

• connaître le cadre réglementaire de l'entreprise en termes de cybersécurité et de confidentialité des données ;
• être prêt à soumettre les tiers les plus à risque à une évaluation de leurs risques cyber ;
• suivre l’évolution du risque en continu, et à chaque changement de réglementation ou de périmètre d’action de l'entreprise tierce.

À ce propos, Clémentine Bouvier, experte IBM, détaille une série de conseils si la gestion des risques liés aux tiers amène à identifier de vrais risques cyber chez l'entreprise partenaire et qu’il convient alors de traiter selon la règle des 4T (en anglais) :

• refuser (Terminate) le risque et mettre fin à la relation commerciale ;
• réduire le risque (Treat) ;
• transférer (Transfer) le risque à un tiers, notamment aux assurances ;
• accepter (Tolerate) le risque si l'arrêt de la relation commerciale est préjudiciable à la société pilote.