Publications

Partager des données sensibles en toute sécurité

par mars 2019Non classifié(e)0 commentaires

Vous êtes-vous déjà arrêté pour réfléchir à la quantité de données qui circulent entre les murs de vos bureaux? Comment protéger votre entreprise et gérer les vulnérabilités que représentent ces informations? Vous avez peut-être repéré les lacunes de votre cybersécurité, mais qu’en est-il de celles de vos partenaires?

Imaginez ceci : vous passez plusieurs mois à analyser vos risques et à peaufiner votre stratégie en cas de cyberattaque. Quelques semaines avant le lancement d’un nouveau produit, vous en transmettez les plans à un tiers qui apportera la touche finale. Le lendemain, ces plans se retrouvent entre les mains de votre principal compétiteur : son système de sécurité avait une faille.

Il s’agit d’une menace bien réelle qui rappelle un vieil adage : une chaîne n’est aussi solide que son maillon le plus faible, en l’occurrence, vos fournisseurs et partenaires. 

Pourtant, rares sont les entreprises qui peuvent aujourd’hui fonctionner sans externaliser certaines opérations. En faisant affaire avec un tiers, vous prenez un risque inévitable, certes, mais qui peut tout de même être réduit.

Préparez-vous à l’interne

Si vous avez lu nos publications précédentes (ici et ici), vous comprenez probablement déjà que la meilleure défense, c’est la connaissance. La première étape pour protéger votre entreprise : faire l’inventaire de vos risques et données sensibles.

Répertoriez les catégories d’informations qui pourraient avoir un impact négatif si elles étaient volées, modifiées, indisponibles ou divulguées. Vérifiez les règles de sécurité qui encadrent votre pratique professionnelle et nommez officiellement une personne responsable de gérer la sécurité de l’information avec les tiers. Si vous ne savez pas par où commencer, référez-vous à notre guide sommaire sur les mesures de cybersécurité.

Identifiez les risques

Avant de faire affaire avec un nouveau fournisseur, demandez-vous si les éléments partagés vous exposent à un risque majeur parmi les suivants.

  • Risque de réputation: la divulgation d’informations sensibles nuit à votre image, ce qui incite vos clients, employés et partenaires à vous quitter ou à exiger l’augmentation de vos mesures de sécurité. Pensons, par exemple, aux fuites des données personnelles sur les réseaux sociaux.
  • Risque financier: les fuites de données dont vous faites l’objet poussent vos usagers, clients, employés à intenter un recours collectif contre vous. Vous devrez payer un dédommagement.
  • Risque de conformité: la vulnérabilité exposée dans vos systèmes vous empêche de démontrer la conformité de votre entreprise à une loi ou un règlement. Conséquence : vous êtes mis à l’amende, vous perdez votre certification ou votre droit d’exploitation.

Si l’une de ces situations vous menace, votre meilleure protection est l’adoption d’un protocole attestant de la maturité des tiers. Grâce à celui-ci, les risques que vous prendrez seront calculés.

Le questionnaire

L’une des pratiques les plus courantes en gestion des vulnérabilités, lorsque vous faites affaire avec un tiers, consiste à lui envoyer un questionnaire à choix multiples à propos de la sécurisation de ses systèmes. Le nombre et la nature des questions devraient refléter l’ampleur des enjeux de sécurité liés aux activités sous-traitées.

Assurez-vous que tout soit clair, et prévoyez devoir offrir un support aux fournisseurs qui devront s’y soumettre. Ce type d’auto-évaluation demande peu d’effort de votre côté, mais peut aussi s’avérer imprécis puisque les réponses ne sont pas toujours contextualisées.

L’entrevue

Très semblable au questionnaire, l’entrevue vous permet d’obtenir un portrait des mesures de sécurité en place et d’en évaluer l’efficacité. Lors d’une rencontre avec le personnel clé du fournisseur potentiel, posez une série de questions ouvertes pour comprendre la culture d’entreprise.

Cette approche est plus précise, mais peut s’avérer coûteuse puisqu’elle demande de la préparation. De plus, l’entrevue doit être conduite par quelqu’un qui détient le bagage nécessaire pour animer et analyser les réponses.

La certification ou le rapport d’audit

Plusieurs fournisseurs obtiennent une certification pour démontrer leur fiabilité et leur sérieux en matière de sécurité de l’information. Une panoplie de programmes existent sur le marché, chacun d’eux couvrant des paramètres différents.

Bien qu’il s’agisse d’un indicateur pertinent, la certification ne devrait pas pour autant remplacer votre vérification de la maturité d’une entreprise. Les certifications n’ont pas toutes la même portée; vous devriez donc tout de même évaluer les mesures de sécurité de vos partenaires potentiels.

L’évaluation finale

Peu importe la méthode choisie, votre protocole de vérification devrait éclaircir la question suivante : le tiers est-il en mesure de protéger adéquatement vos données sensibles? Si la réponse est non, cherchez un autre fournisseur. Vous pouvez bien sûr demander à l’entreprise de bonifier ses mesures de sécurité, mais ce processus est long, coûteux, et ne portera pas nécessairement ses fruits.

Lorsque vous aurez sélectionné le partenaire idéal, assurez-vous que votre contrat comprend une clause de sécurité claire et précise. Inscrivez-y le détail de vos exigences, les mécanismes de validation et les recours applicables en cas de non-conformité. Sans une telle clause, vous n’avez aucun levier pour vous garantir que le fournisseur remplit ses obligations.

Comme nous l’avons mentionné, un plan efficace se base sur une connaissance étroite de vos vulnérabilités. Quand vous faites affaire avec un tiers, gardez en tête qu’il peut devenir un vecteur d’attaque, une faiblesse dans votre chaîne.

Plus les risques qui vous guettent sont importants, et l’information que vous partagez est sensible, plus votre méthode de sélection doit être rigoureuse. Dans le doute, faites appel à un expert en sécurité, il vous accompagnera dans cette démarche et vous évitera bien des mauvaises surprises.

***

Suivez-nous sur LinkedIn

Notre page Facebook