Formation à la sensibilisation à la sécurité avec des fournisseurs tiers
Publié le: 11 Oct 2021
Dernière modification le: 24 Juil 2025
Un moyen efficace de gérer les vulnérabilités des fournisseurs tiers est de mettre en place une formation de sensibilisation à la sécurité avec ces derniers.
L’écosystème des fournisseurs fait partie intégrante de nombreuses organisations et fournit le soutien nécessaire à la réussite de l’entreprise. Cette relation intime, souvent complexe, entre les fournisseurs a créé des failles que les pirates informatiques exploitent. La formation à la sensibilisation à la sécurité avec les fournisseurs tiers est extrêmement importante.
L’étendue des vulnérabilités de ces tiers a été mise en évidence dans une enquête réalisée en 2020 par Opinion Matters : l’enquête a exploré les problèmes de sécurité de l’écosystème des tiers auprès des DSI, des RSSI et des responsables de l’approvisionnement. L’un des résultats les plus inquiétants du rapport est qu’environ 82 % des organisations britanniques ont subi une violation de sécurité provenant de l’écosystème des fournisseurs au sens large. L’étude souligne également que le Royaume-Uni a la plus mauvaise visibilité des vulnérabilités en matière de sécurité dans la chaîne d’approvisionnement.
Gérer les implications de l’utilisation de tiers en matière de sécurité
La formation à la sensibilisation à la sécurité des fournisseurs tiers est un processus holistique qui implique de nombreux éléments mobiles. En raison de la complexité de ces systèmes, l’exposition accidentelle de données et le ciblage de la cybersécurité de la chaîne d’approvisionnement entraînent de graves menaces pour la sécurité et un risque accru pour l’entreprise.
Les entreprises qui font appel à des fournisseurs et à des d’autres tiers, sont généralement responsables des conséquences d’une cyberattaque, même si la faute incombe à un tiers. Des règlements tels que ISO27001 et PCI DSS (Payment Card Industry Data Security Standard) ont des exigences qui prévoient tous les risques liés aux données des fournisseurs tiers sont gérés.
A Une étude récente de l’ENISA a révélé que 58 % des attaques visent à obtenir l’accès aux données et que 62 % d’entre elles dépendent de la manipulation de la confiance des clients dans la chaîne d’approvisionnement. Le rapport de l’ENISA indique que :
« uneprotection de sécurité solide ne suffit plus aux organisations lorsque les attaquants ont déjà porté leur attention sur les fournisseurs« .
Le rapport souligne également la faiblesse des rapports d’incidents, ce qui a un impact sur la visibilité des vulnérabilités en amont de la chaîne.
Les chaînes d’approvisionnement étant à l’origine de nombreuses cyberattaques, il est essentiel de se concentrer sur l’aspect humain de la cybersécurité, en veillant à ce que toutes les tierces parties soient pleinement conscientes des défis de la sécurité. La formation de sensibilisation à la sécurité permet d’aborder l’élément humain dans l’équation de la menace de la cybersécurité. Mais comment une organisation gère-t-elle la formation à la sensibilisation à la sécurité avec des fournisseurs tiers ?
Questions importantes concernant la gestion de la formation à la sensibilisation à la sécurité avec des fournisseurs tiers
La gestion des vulnérabilités en matière de sécurité dans la chaîne d’approvisionnement se résume à la formation des employés tout au long de cette chaîne. La gestion de la formation à la sensibilisation à la sécurité avec les fournisseurs tiers et les employés s’accompagne de plusieurs questions clés :
Le tiers dispose-t-il d’une formation de sensibilisation à la sécurité ?
Découvrez si votre fournisseur a déjà mis en place un programme de formation à la sensibilisation à la sécurité. Gardez toutefois à l’esprit que tous les programmes de sensibilisation à la sécurité ne se valent pas. Le niveau de formation doit répondre aux attentes de votre entreprise. Vérifiez que la formation est dispensée à intervalles réguliers. Un kit de formation médiocre qui n’utilise pas de matériel de formation interactif et attrayant risque de ne pas changer les choses. un mauvais comportement des employés en matière de sécurité.
Le fournisseur utilise-t-il des simulations d’hameçonnage et d’autres méthodes de sensibilisation à l’hameçonnage ?
Dans un Selon une étude réalisée par Thales en 2021, le phishing arrive en troisième position dans le classement des dix principales menaces pesant sur les données. Les logiciels malveillants et les rançongiciels, souvent initiés par l’hameçonnage, se classent respectivement en première et deuxième position.
Les simulations d’hameçonnage amènent l’employé à suivre une procédure d’hameçonnage soigneusement configurée. des exercices automatisés de simulation d’hameçonnage. Au fil du temps, ces exercices renforcent la confiance du personnel, qui sait repérer les signes révélateurs de l’hameçonnage et signaler la menace. Vérifiez auprès de votre fournisseur s’il utilise des simulations de phishing et, si ce n’est pas le cas, aidez-le à développer un programme qui simule les escroqueries de phishing typiques de votre secteur.
Évaluer toute campagne existante de formation à la sensibilisation à la sécurité avec des fournisseurs tiers
Une fois que vous avez établi que le fournisseur dispose d’un programme de formation à la sensibilisation à la sécurité, vous pouvez en évaluer l’efficacité en consultant le site :
- Preuves documentaires de la formation, par exemple la participation des employés aux séances de formation, les types de questions posées par les stagiaires, etc.
- Mesures de l’efficacité de la formation : par exemple, combien d’employés ont pu reconnaître un message d’hameçonnage et le signaler ?
Les mesures permettent d’apporter des changements ciblés à un programme, ce qui se traduit par des résultats encore meilleurs en matière de formation.
Que faire si votre fournisseur tiers n’utilise pas la formation à la sensibilisation à la sécurité ?
Il est de plus en plus important de s’attaquer à l’élément humain du risque cybernétique. Un autre Le rapport de l’ENISA a révélé que 95 % des courriels de phishing nécessitent une intervention humaine pour déclencher une infection par des logiciels malveillants. En outre, il faut également tenir compte de la menace que représentent les personnes initiées accidentellement. Verizon Data Breach Investigations Report, 2021: 22 % des incidents de sécurité impliquent des initiés.
Le personnel des fournisseurs doit être formé aux mêmes niveaux de sensibilisation à la sécurité que le personnel de votre propre entreprise. Pour ce faire, l’accord de niveau de service (SLA) conclu entre votre entreprise et votre fournisseur doit refléter le niveau de formation que vous attendez. Cet accord juridique doit exiger que les détails du programme de formation à la sécurité soient approuvés selon vos propres normes. La mise en place d’un accord de niveau de service comprenant une clause relative à la sensibilisation à la sécurité montre que le fournisseur s’engage à assurer à la fois sa sécurité et la vôtre.
Les bons fournisseurs tiers garantissent un avantage concurrentiel, mais les vulnérabilités en matière de sécurité peuvent transformer un bon fournisseur en un boulet.
Les cybercriminels recherchent le maillon faible de la chaîne, à savoir le fournisseur et son personnel. Afin d’atténuer ces failles dans l’armure de la chaîne, veillez à ce que la formation à la sensibilisation à la sécurité dispensée aux fournisseurs tiers soit soigneusement gérée afin de répondre à vos attentes et aux normes que vous vous êtes fixées.
