Un moyen efficace de gérer les vulnérabilités des fournisseurs tiers est de mettre en place une formation de sensibilisation à la sécurité avec ces derniers.
L'écosystème des fournisseurs fait partie intégrante de nombreuses organisations et constitue le support d'une entreprise prospère. Cette relation intime, souvent complexe, entre les fournisseurs a donné lieu à des lignes de faille que les pirates informatiques exploitent. La formation à la sensibilisation à la sécurité avec les fournisseurs tiers est extrêmement importante.
L'étendue des vulnérabilités de ces tiers a été mise en évidence dans une enquête réalisée en 2020 par Opinion Matters : l'enquête a exploré les problèmes de sécurité de l'écosystème des tiers auprès des DSI, des RSSI et des responsables des achats. L'un des résultats les plus inquiétants du rapport est qu'environ 82 % des organisations britanniques ont subi une violation de sécurité provenant de l'écosystème élargi des fournisseurs. L'enquête souligne également que le Royaume-Uni est le pays où la visibilité des failles de sécurité dans la chaîne d'approvisionnement est la plus faible.
Gérer les implications du recours à des tiers en matière de sécurité
La formation à la sensibilisation à la sécurité avec les fournisseurs tiers est un processus global qui implique de nombreux éléments mobiles. En raison de la complexité de ces systèmes, l'exposition accidentelle de données et le ciblage de la cybersécurité de la chaîne d'approvisionnement entraînent de graves menaces pour la sécurité et un risque accru pour l'entreprise.
Les entreprises qui font appel à des fournisseurs et autres tiers sont généralement responsables des résultats d'une cyberattaque, même si la faute incombe à un tiers. Les réglementations telles que ISO27001 et PCI DSS (Payment Card Industry Data Security Standard) comportent des exigences qui prévoient la gestion de tout risque lié aux données des fournisseurs tiers.
Selon une étude récente de l'ENISA, 58 % des attaques visent à obtenir l'accès aux données et 62 % à manipuler la confiance des clients dans la chaîne d'approvisionnement. Le rapport de l'ENISA indique que :
"Uneprotection de sécurité forte ne suffit plus aux organisations lorsque les attaquants ont déjà reporté leur attention sur les fournisseurs."
Le rapport souligne également la faiblesse des rapports d'incidents, ce qui a un impact sur la visibilité des vulnérabilités en amont de la chaîne.
Les chaînes d'approvisionnement étant responsables d'un grand nombre de cyberattaques, il est essentiel de se concentrer sur l'aspect humain de la cybersécurité, en veillant à ce que tous les tiers soient pleinement conscients des enjeux de la sécurité. La formation à la sensibilisation à la sécurité permet d'aborder l'élément humain dans l'équation des menaces de cybersécurité. Mais comment une organisation peut-elle gérer la formation à la sensibilisation à la sécurité avec des fournisseurs tiers ?
Questions importantes dans la gestion de la formation de sensibilisation à la sécurité avec les fournisseurs tiers
La gestion des vulnérabilités de sécurité dans la chaîne d'approvisionnement se résume à la formation des employés de cette chaîne. La gestion de la formation à la sensibilisation à la sécurité avec les fournisseurs et les employés tiers soulève plusieurs questions clés :
Le tiers a-t-il mis en place une formation de sensibilisation à la sécurité ?
Vérifiez si votre fournisseur a déjà mis en place un programme de formation à la sensibilisation à la sécurité. N'oubliez pas, cependant, que tous les programmes de sensibilisation à la sécurité ne se valent pas. Le niveau de formation doit être conforme aux attentes de votre propre entreprise. Vérifiez que la formation est dispensée à intervalles réguliers. Un programme de formation médiocre, qui n'utilise pas de supports de formation interactifs et attrayants, risque de ne pas modifier les mauvais comportements des employés en matière de sécurité.
Le fournisseur utilise-t-il des simulations de hameçonnage et d'autres formations de sensibilisation au hameçonnage ?
Dans une étude réalisée par Thales en 2021, le phishing est arrivé en troisième position dans le classement des dix principales menaces pesant sur les données. Les malwares et les ransomwares, souvent initiés par le phishing, étaient respectivement les numéros 1 et 2.
Les simulations de phishing font passer un employé par des exercices de simulation de phishing automatisés et soigneusement configurés. Au fil du temps, cela renforce la confiance du personnel qui sait comment repérer les signes révélateurs du phishing et comment signaler la menace. Vérifiez auprès de votre fournisseur s'il utilise des simulations de phishing et, si ce n'est pas le cas, aidez-le à élaborer un programme qui simule les escroqueries typiques de phishing qui touchent votre secteur.
Évaluer toute campagne existante de formation à la sensibilisation à la sécurité avec des fournisseurs tiers.
Une fois que vous avez établi que le fournisseur dispose d'un programme de formation à la sensibilisation à la sécurité, vous pouvez évaluer son efficacité en vérifiant :
- Preuve documentaire de la formation, par exemple, la participation des employés aux sessions de formation, les types de questions posées par les stagiaires, etc.
- Mesures de l'efficacité de la formation, par exemple, combien d'employés ont été capables de reconnaître un message de phishing et de le signaler ?
Les mesures permettent d'apporter des changements ciblés à un programme, ce qui se traduit par des résultats de formation encore meilleurs.
Que faire si votre fournisseur tiers n'utilise pas la formation à la sensibilisation à la sécurité ?
Il est de plus en plus important de s'attaquer à l'élément humain du cyberrisque. Un autre rapport de l'ENISA a révélé que 95 % des courriels de phishing nécessitent une intervention humaine pour déclencher une infection par un logiciel malveillant. En outre, la menace que représentent les initiés accidentels doit également être prise en compte ; le rapport Verizon Data Breach Investigations Report, 2021, a révélé que 22 % des incidents de sécurité impliquaient des initiés.
Le personnel des fournisseurs doit être formé aux mêmes niveaux de sensibilisation à la sécurité que le personnel de votre propre entreprise. Pour gérer cela, l'accord de niveau de service (SLA) entre votre entreprise et votre fournisseur doit refléter le niveau de formation que vous attendez. Cet accord juridique doit exiger que les détails du programme de formation à la sécurité soient approuvés selon vos propres normes. La mise en place d'un accord de niveau de service comprenant une clause de sensibilisation à la sécurité montre que le fournisseur s'engage à assurer sa sécurité et la vôtre.
D'excellents fournisseurs tiers assurent un avantage concurrentiel, mais les failles de sécurité peuvent transformer un excellent fournisseur en un handicap.
Les cybercriminels recherchent le maillon le plus faible de la chaîne, le fournisseur et son personnel. Afin d'atténuer ces failles dans l'armure de la chaîne, veillez à ce que la formation de sensibilisation à la sécurité dispensée aux fournisseurs tiers soit soigneusement gérée pour répondre aux attentes et aux normes que vous attendez.
