Pourquoi les entreprises doivent contrôler les procédures de sécurité de leurs prestataires
Si passer par des prestataires pour la distribution, la gestion des ressources humaines ou encore l'informatique est de plus en plus simple grâce à la profusion de services connectés, cette pratique expose néanmoins les activités des entreprises à de nouveaux risques de cyberattaques.
Les fournisseurs échappent trop souvent aux procédures qu'une entreprise met en place pour assurer sa sécurité interne, généralement parce qu'ils revendiquent avoir déjà leurs propres dispositifs de protection. Pourtant, la discipline que s'imposent les fournisseurs ne répond pas aux mêmes enjeux que celle en vigueur chez leur client. Et dans tous les cas, l'accès à des données sensibles devrait être régi par des règles expressément écrites pour assurer leur intégrité.
Prenons l'exemple des cabinets de recrutement : l'année dernière, l'un d'eux, TalentPen, a laissé fuiter 9400 fichiers contenant les adresses, numéros de téléphone, e-mails et pièces d'identité de milliers de militaires et agents secrets américains. Ce prestataire avait placé des copies des données en question sur un espace de stockage public dans le Cloud d'Amazon. Ces copies ne devaient rester en ligne que le temps d'être récupérées par l'entreprise de conseil militaire qui avait contracté le dit service de recrutement. Hélas, TalentPen a finalement oublié de les effacer. Si le commanditaire dispose lui-même d'une procédure pour encadrer le déroulement d'une telle opération, il ne s'est en revanche pas demandé si son prestataire allait en respecter une.
Le problème : ignorer qui chez le prestataire accède à quoi
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Parmi les difficultés que pose l'application des procédures de sécurité internes aux prestataires, il y a le fait que l'on ignore lesquels de leurs salariés utiliseront les privilèges d'accès qu'on leur fournit. Dès lors, il est impossible de savoir qui fait quoi sur les systèmes de l'entreprise cliente. Or, si on fait le choix de ne pas prendre en compte l'identité de la personne qui accède aux données sensibles, les pirates n'ont plus qu'à dérober des mots de passe. De fait, les comptes à privilèges utilisés par les fournisseurs sont aujourd'hui une cible privilégiée des malfaiteurs.
C'est ainsi que, fin 2017, des cybercriminels ont pu discrètement avoir accès à environ 4 millions d'informations privées concernant les clients de Time Warner. Là encore, la faute en incombait aux techniciens d'un prestataire, l'éditeur Broadsoft, qui avaient stocké en clair sur le Cloud d'Amazon le mot de passe du compte accordé par le commanditaire. Ils l'ont fait pour que leur logiciel ait plus facilement accès à la base de données des clients de Time Warner. Mais, en pratique, rien n'était prévu pour vérifier que personne d'autre n'utiliserait ce canal.
Ignorer qui détient les bons privilèges engendre des failles multiples. Par exemple, lorsque l'un des collaborateurs du prestataire vient à démissionner, il est peu probable que ses clients en soient informés. Ils ne pourront donc pas changer à temps les mots de passe qu'il utilisait pour éviter qu'il parte avec.
Selon une étude récente de CSO Online, 63% des failles de sécurité d'une entreprise seraient dues à ses prestataires.
Des procédures dédiées sont possibles pour éviter les risques
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Le risque de cybersécurité posé par les fournisseurs peut néanmoins être réduit grâce à la mise en place de procédures dédiées. Parmi celles-ci, la plus importante est la gestion granulaire des accès, avec des restrictions au cas par cas. Ces restrictions comprennent principalement un délai d'utilisation limité ou l'identification des d'utilisateurs. Les règles d'accès doivent bien évidemment tenir compte des réglementations et des standards en vigueur sur le marché de l'entreprise cliente.
Concernant l'accès temporaire, une attention particulière doit être portée aux comptes d'administration système puisque ceux-ci n'ont pas vocation à être utilisés pour des opérations courantes. Les utilisateurs à qui l'on accorde de tels comptes devraient ainsi toujours y accéder ponctuellement, juste le temps d'effectuer leur travail.
Afin de pouvoir retracer les actions de chaque utilisateur, il est indispensable d'utiliser des comptes nominatifs. Au-delà de leur efficacité technique, ils présentent accessoirement l'avantage de mieux responsabiliser les personnes, ce qui est susceptible de réduire le nombre d'incidents de sécurité dus aux maladresses. Les comptes nominatifs sont idéalement monitorés depuis une console centrale qui fournit tous les détails de l'activité des collaborateurs du prestataire lorsqu'ils utilisent les accès que l'entreprise cliente leur a accordés. Ces consoles sont mêmes capables de produire des alertes en temps réel en cas d'activité dangereuse, voire empêchent l'exécution de commandes indésirables, ce qui est bien plus efficace que l'analyse de logs à postériori.
Si des comptes partagés s'avèrent néanmoins nécessaires, il est possible de pallier l'absence d'identification nominative par un gestionnaire de mots de passe. Ceci permet à chaque utilisateur d'accéder à la ressource dont il a besoin dans un cadre autorisé, sans pour autant connaître exactement le mot de passe ni pouvoir s'en servir dans d'autres conditions. Les comptes nominatifs comme ceux sécurisés par des gestionnaires de mots de passe peuvent être surveillés par des outils de gestion de session. Ceux-ci reposent sur un moteur de Machine Learning pour détecter automatiquement les utilisations frauduleuses des privilèges accordés.
Précisons enfin que les prestataires tirent eux-mêmes les bénéfices de telles procédures de sécurité. Les traces enregistrées peuvent alimenter leurs audits de sécurité et servir de preuve pour démontrer la qualité de service qu'ils facturent.
Sur le même thème
Voir tous les articles Cybersécurité