La saison 2 de notre podcast INTRASEC est lancée. Et aujourd’hui, nous avons le plaisir de partager avec vous notre entrevue avec Matthieu Chouinard, président d’In Fidem et de Forensik.
Dans le cadre de la Conférence Forensik 2020, il a animé une table ronde pour sensibiliser les entreprises aux différents risques encourus en cas d’incident de cybersécurité chez leur fournisseur TI. Accompagné de Laure Bonnave, avocate chez Clyde & Co, Othmann Layati, responsable cyberrisques chez Beazley Canada et Jean-Simon Gervais, expert en cyberenquêtes, cette éventualité a été discutée afin de vous apporter les questions clés à se poser pour valider que vous avez le bon partenaire TI et renforcer votre cyberrésilience.
Voici en 3 points, les éléments clés à retenir :
Les cyberattaques indirectes, une menace à ne pas sous-estimer
Les cyberattaques dites indirectes se sont multipliées ces dernières années. Les pirates informatiques exploitent de plus en plus les relations de confiance établies entre les partenaires pour accéder aux informations qu’ils convoitent.
De nombreuses organisations reposent sur les compétences de leur fournisseur TI pour gérer leurs systèmes. Elles vont développer une relation de confiance en pensant qu’en déléguant à des experts, la sécurité de leurs systèmes d’information et de leurs données sont en de bonnes mains. Mais saviez-vous que les fournisseurs TI sont l’une des cibles les plus courantes des cybercriminels? Votre organisation pourrait donc indirectement en être victime.
Quelle que soit la taille de votre entreprise, la menace est bel et bien présente. Il est devenu difficile de passer par la grande porte des grands groupes. Les cyberattaquants vont donc d’abord s’introduire chez les fournisseurs, où les mesures de sécurité sont peut-être moins fortes, pour atteindre dans un deuxième temps l’entreprise visée.
Et ce n’est pas parce que vous travaillez dans une PME que votre organisation n’est pas concernée. En effet, le nombre de clients que compte votre fournisseur TI peut faire de lui une proie alléchante pour les pirates informatiques.
Bien que le modèle de services gérés permette de répondre à des besoins d’affaires précis, il introduit d’autres types de risques qui peuvent être fatals pour votre organisation.
Quels sont les risques en cas de brèche de sécurité chez votre fournisseur TI?
Par exemple, en cas d’attaque par un rançongiciel chez votre partenaire TI, les cybercriminels vont bien souvent s’assurer d’exfiltrer les données de l’entreprise visée, et donc les vôtres également, avant de les crypter pour réclamer une rançon.
Les risques sont donc élevés en cas de cyberincident chez votre fournisseur TI, car les pirates informatiques pourraient par la suite s’en prendre aussi à votre organisation, en s’introduisant dans vos systèmes pour accéder à vos données sensibles : informations bancaires, brevets, renseignements personnels sur vos employés, vos clients et autres partenaires, etc., avant de les exfiltrer et les crypter à leur tour.
C’est une réaction en chaîne qui peut générer une véritable catastrophe.
D’autres scénarios sont possibles comme une menace interne ou un concurrent qui essaierait de voler vos données.
Comment vous préparer et réduire les risques pour votre organisation en cas de cyberattaque chez votre fournisseur de services gérés en TI?
Savez-vous si votre partenaire TI est prêt à faire face à ce type de scénario? Serez-vous traité en premier ou en dernier? Que se passerait-il avec vos données?
C’est autant de questions qu’il faut se poser pour s’assurer que vous travaillez avec le bon fournisseur TI.
Le conseil de Matthieu, c’est de garder une séparation des tâches entre le service livré et l’évaluation du risque de cybersécurité. Quand on a plusieurs partenaires, il faut éviter de mettre tous ses œufs dans le même panier.
Vous devez vous assurer que vos partenaires appliquent les bonnes mesures de sécurité et les bonnes pratiques à adopter en cas d’incident.
Il est donc important d’avoir des leviers contractuels pour recevoir toutes les informations : les incidents, les problématiques soulevées dans la gestion de la sécurité des données…
Par exemple, assurez-vous d’avoir entre les mains des rapports d’audit pour être en mesure de poser les bonnes questions sur des informations qui sont fiables et d’évaluer votre partenaire.
Vous devez également vérifier que votre fournisseur dispose d’une cyberassurance. D’un point de vue contractuel, c’est un élément essentiel à prendre en compte. Il existe différents types de polices d’assurance. La base semble couvrir tous les frais associés à une réponse à une cyberattaque : experts juridiques, relations presse, communication avec les clients, centre d’appel et bien sûr, les spécialistes qui vous aideront à vous remettre sur pied.
Matthieu recommande également de mettre en œuvre des protocoles de type :
- plan de gestion et de réponses aux incidents de cybersécurité;
- plan de continuité des affaires;
- plan de reprise des activités après un sinistre.
Dernier point et non le moindre : dans le cadre d’un modèle infonuagique, vous avez la responsabilité de protéger vos données. Oui, vous déléguez, mais vous restez imputables d’une fuite de données, d’une perte de services… À vous aussi donc de bien configurer vos environnements dans le nuage et les accès en mettant en place, par exemple, l’authentification à double facteur.
Si vous avez besoin d’accompagnement pour évaluer vos partenaires et votre fournisseur TI, ou bien si vous souhaitez que nous vous aidions à préparer vos plans de réponse aux cyberattaques, plans de de continuité des affaires ou plans de reprise des activités après un sinistre, nous vous invitons à nous contacter.
En attendant, retrouvez l’intégralité de l’entrevue de Matthieu Chouinard sur Ausha, Spotify, Apple Podcasts, Google Podcasts, Podcast Addict.