Si passer par des prestataires pour la distribution, la gestion des ressources humaines ou encore l’informatique est de plus en plus simple grâce à la profusion de services connectés, cette pratique expose néanmoins les activités des entreprises à de nouveaux risques de cyberattaques.

Les fournisseurs échappent trop souvent aux procédures qu’une entreprise met en place pour assurer sa sécurité interne, généralement parce qu’ils revendiquent avoir déjà leurs propres dispositifs de protection. Pourtant, la discipline que s’imposent les fournisseurs ne répond pas aux mêmes enjeux que celle en vigueur chez leur client. Et dans tous les cas, l’accès à des données sensibles devrait être régi par des règles expressément écrites pour assurer leur intégrité.

Prenons l’exemple des cabinets de recrutement : l’année dernière, l’un d’eux, TalentPen, a laissé fuiter 9400 fichiers contenant les adresses, numéros de téléphone, e-mails et pièces d’identité de milliers de militaires et agents secrets américains. Ce prestataire avait placé des copies des données en question sur un espace de stockage public dans le Cloud d’Amazon. Ces copies ne devaient rester en ligne que le temps d’être récupérées par l’entreprise de conseil militaire qui avait contracté le dit service de recrutement. Hélas, TalentPen a finalement oublié de les effacer. Si le commanditaire dispose lui-même d’une procédure pour encadrer le déroulement d’une telle opération, il ne s’est en revanche pas demandé si son prestataire allait en respecter une.

Le problème : ignorer qui chez le prestataire accède à quoi

Parmi les difficultés que pose l’application des procédures de sécurité internes aux prestataires, il y a le fait que l’on ignore lesquels de leurs salariés utiliseront les privilèges d’accès qu’on leur fournit. Dès lors, il est impossible de savoir qui fait quoi sur les systèmes de l’entreprise cliente. Or, si on fait le choix de ne pas prendre en compte l’identité de la personne qui accède aux données sensibles, les pirates n’ont plus qu’à dérober des mots de passe. De fait, les comptes à privilèges utilisés par les fournisseurs sont aujourd’hui une cible privilégiée des malfaiteurs.

Pour découvrir la suite, rendez-vous sur Silicon.fr.

Je souhaite être recontacté à ce sujet