Le risque lié aux fournisseurs tiers peut entraîner des incidents potentiellement très dommageables, mais de nombreuses entreprises ont tendance à se concentrer sur la protection de leurs systèmes et processus internes et peuvent être moins préoccupées par ceux qu’elles confient à d’autres, qui peuvent être perçus comme des « experts » et donc comme sûrs. Cependant, cette question difficile devrait exiger plus d’attention de la part des conseils d’administration, comme l’ont montré un certain nombre de violations de données récentes. Les experts en sécurité recommandent d’adopter une approche beaucoup plus concertée, voire
à l’échelle de l’entreprise, et d’assumer une responsabilité collective.

Cadre de risque

Bien trop souvent, un service individuel tel que les achats ou l’informatique peut être responsable de la mise en place et de la gestion des relations avec les tiers, ce qui signifie que la surveillance peut parfois être moins rigoureuse. Au contraire, il faut investir du temps et des efforts dans la gestion des risques des tiers dès le départ.
Tous les fournisseurs devraient être tenus de fournir des informations sur leurs normes de sécurité et de gestion des risques afin de vérifier qu’ils sont ou peuvent être des partenaires de confiance et de déterminer les risques éventuels, en particulier s’ils ont accès à des données. Chacun d’entre eux devrait être tenu de répondre à un questionnaire afin d’être intégré dans un cadre, ce qui peut aider à les classer selon qu’ils présentent un risque élevé, faible ou moyen. Il faut procéder à une vérification, à des contrôles commerciaux rigoureux et à des accords juridiques, ainsi qu’à un suivi, qui doit être plus fréquent pour les fournisseurs présentant le risque le plus élevé. Certains fournisseurs peuvent ne pas apprécier ce niveau de supervision ou le fait qu’on leur demande de fournir des références, par exemple. Mais s’ils se montrent réticents, cela devrait provoquer des discussions sérieuses sur la viabilité de l’accord. Un récent rapport de Verizon a révélé qu’une violation de données sur deux est due à des risques liés à des tiers. C’est pourquoi de nombreux gestionnaires de risques voudront peut-être procéder à des examens dans ce domaine, éventuellement au niveau des racines et des branches.

Le Dow Jones sous les feux de la rampe

En février dernier, il a été révélé qu’un « tiers autorisé » avait divulgué une liste de surveillance très sensible du Dow Jones conservée dans une base de données et contenant quelque 2,4 millions d’enregistrements.

Dow Jones

Les noms ont été classés comme « à haut risque » par la société d’information financière car ils étaient considérés comme ayant des liens potentiels avec le crime organisé ou le terrorisme. La liste comprendrait des hommes politiques, des terroristes présumés et des criminels en col blanc, ainsi que des informations telles que l’âge, le lieu de résidence, des notes détaillées sur les actes répréhensibles présumés et, dans certains cas, des photographies. Une telle liste peut aider les entreprises à éviter de traiter avec des organisations peu recommandables et d’être frappées de sanctions ou de se heurter à des problèmes réglementaires, tels que ceux liés à la lutte contre le blanchiment d’argent.
Les noms étaient conservés sur un serveur AWS non sécurisé et la base de données a été repérée par Bob Diachenko, un expert en sécurité qui a également mis au jour d’autres violations de données. Selon lui, la liste se trouvait sur un cluster Elasticsearch public d’une taille de 4,4 Go et était accessible à toute personne sachant où chercher.

Participation du conseil d’administration

Dow Jones a déclaré que les données faisaient partie de son offre en matière de risque et de conformité et le porte-parole a déclaré :  »

Notre examen suggère que cela résulte d’une mauvaise configuration d’un serveur AWS par un tiers autorisé, et que les données ne sont plus disponibles. »

Des bases de données Elasticsearch non sécurisées ont été à l’origine d’un certain nombre de violations de données récentes, dont une impliquant 32 millions de clients de Sky Brazil et un incident de Thompson Reuters impliquant également une liste de surveillance et l’exposition de 2,2 millions d’enregistrements. Le transfert de données et de fonctions à d’autres entreprises est fréquent pour de nombreuses raisons. Mais cela ne signifie pas que l’on renonce à ses responsabilités et il faut conserver en interne des personnes ayant les bonnes compétences pour gérer les fournisseurs et garantir une réponse rapide et efficace en cas d’incident.
En ce qui concerne la gestion des tiers, les régulateurs sont vigilants et les conseils d’administration, ainsi que les gestionnaires de risques, doivent s’engager et s’impliquer.