Cybersécurité : pourquoi les risques tiers sont difficiles à réduire

Les affaires Kaseya, Solarwinds ou, à une échelle moindre, l’attaque sur Trezor via un simple compte MailChimp l’ont clairement démontré : le risque qui pèse sur la supply chain IT est loin d’être théorique.

Dans un récent rapport sur les attaques via les tierces parties, Black Kite évaluait à 23 % la part des incidents de sécurité directement imputables aux éditeurs de logiciels eux-mêmes.

Gérer ce risque lié aux tierces parties est un impératif pour toutes les DSI et tous les fournisseurs, y compris les PME qui vont devoir se mettre au pas pour ne pas être évincées des appels d’offres. Or envoyer des questionnaires et faire signer des clauses contractuelles dédiées à la cybersécurité reste une tâche particulièrement rébarbative pour tous, tant pour celui qui les envoie et traite les réponses, que pour les fournisseurs qui reçoivent ces questionnaires en grande quantités.

Pour autant, tout ce traitement « administratif » du risque ne met pas à l’abri une entreprise d’attaques via une brique logicielle de son SI ou une attaque par rebond via un de ses prestataires.

Face à ce besoin, de multiples prestataires et éditeurs de services se sont positionnés :  cabinets de conseil, agences de cyber-rating, éditeurs « pure player » de solution TPRM (Third Party Risk Management) ou encore les éditeurs de plateforme de gestion de risque qui proposent des solutions intégrées.

Une diversité d’approche qui peut amener à des différences de traitement, notamment auprès des agences de notation américaines telles que BitSight, SecurityScoreCard, ou les français Cyrating et Board of Cyber.

Cyber rating :  une évaluation automatisée mais  pas sans biais

Présent sur le FIC 2023, Clément Marcelot, Consulting Engineer chez BitSight a résumé comment est né cette activité alors que l’éditeur compte aujourd’hui plus de 3 000 clients dans le monde et plus de 40 millions d’organisations notées par ses soins.

« Le point de départ est de transposer des problématiques techniques complexes pour appréhender le risque cyber d’une organisation dans une notation. Ce rating, qui va de 250 à 900, est produit en continu par BitSight. Chaque jour, il peut potentiellement changer au travers d’une plateforme SaaS. Nous collectons des signaux sortants comme les données qui proviennent des adresses IP des organisations. Mais on va aussi regarder les systèmes exposés, les configurations, pour en déduire ou pas l’application des meilleures pratiques et des signaux qui vont nous en dire plus sur la performance cyber de l’organisation dans le temps » détaille-t-il

BitSight s’appuie ainsi sur 120 sources de données et plus de 260 milliards d’événements journaliers pour calculer une note sur 23 vecteurs de risque.

Board of Cyber veut concurrencer ces grandes agences de notation cyber internationales en axant son offre sur des cas d’usage précis, comme le précise Luc Declerck, son Managing Director :
« La valeur ajoutée de notre solution Security Rating est d’adresser des cas d’usage précis, afin de donner à nos clients les armes pour effectuer les correctifs : ils sont alors totalement autonomes pour remédier aux failles de sécurité et améliorer leur performance cyber et construire autour d’eux un écosystème de confiance »

L’éditeur étend son offre avec le lancement, en septembre, d’une notation cyber de l’Active Directory. « Avec ces deux solutions, nos clients bénéficieront d’une visibilité large de leur maturité cyber de façon 100% automatisée. Par ailleurs, l’acquisition de TrustHQ, que nous avons très récemment annoncée, complète notre offre en permettant aux RSSI et directeurs de la cybersécurité d’automatiser des opérations de gouvernance. » précise Luc Declerck.

À ce jour, le plus gros client de Board of Cyber suit plus de 800 entités.

L’offre de modules TPRM s’enrichit

Les éditeurs de logiciels de Gouvernance, Risques & Conformité (GRC) sont nombreux à proposer un module TPRM à leurs clients.

C’est notamment le cas de OneTrust dont la solution de gestion liée aux risques tiers fait partie du cloud « GRC & Security Assurance », pilier intégré et interconnecté à toutes les solutions de la plateforme Trust Intelligence (Privacy, éthique, ESG…).

« OneTrust TPRM (Third-Party Risk Exchange) permet d’automatiser la gestion des risques tiers, en passant par l’enregistrement initial (on-boarding), l’évaluation des risques, leur mitigation, la surveillance continue et le reporting. Le module TPRE donne accès à des milliers d’analyses de risques tiers de premier plan, provenant de multiples sources d’informations (agences de cyber-rating…). » explique Antoine Rousseau, Cloud Specialist, GRC chez OneTrust

L’éditeur joue la carte de l’offre intégrée et interconnectée à toutes les solutions de sa plateforme « Trust Intelligence » de OneTrust (protection des données personnelles, préférences et consentements, gouvernance des données, GRC, éthique et conformité…) pour rompre avec les silos et collaborer de manière transparente.

En outre, la solution dispose de bibliothèque de templates, à jour et évolutive, avec un vaste choix de normes et standards (ISO 27001, NIST, RGPD,…).

Avec le cyber rating et les applications de TPRM et TPRE, les DSI disposent d’outils pour évaluer le niveau de sécurité de leurs fournisseurs de solutions et des partenaires commerciaux de leur entreprise.

Reste à relever le véritable défi posé par la gestion du risque tierces parties : faire s’élever le niveau de maturité cyber de l’ensemble de cet écosystème… un enjeu qui va bien au-delà du simple outillage.