5 Min. Read

3 Étapes pour minimiser les failles de sécurité chez les prestataires extérieurs

Avatar Guy Flechter Jun 03, 2019

Aucune organisation ne peut exister en vase clos. Même si nous sommes convaincus de l’efficacité de nos mesures de sécurité interne, il ne faut pas perdre de vue que la sécurité interne n’est qu’une pièce du puzzle de la sécurité. Chaque organisation repose sur d’autres organisations : qu’il s’agisse d’un fournisseur d’email, d’une ferme de serveurs ou du traiteur qui s’occupe de vos repas du vendredi midi. Si vos efforts en matière de sécurité ne s’étendent pas aux organisations et services auxquels vous faites appel, vous prenez de gros risques.

Au cours de la dernière décennie, plusieurs organisations ont été frappées par des failles et brèches imprévues dans leur chaîne d’approvisionnement. Certaines des plus grandes entreprises du monde ont été victimes de la vulnérabilité de leurs partenaires.

La sécurité de vos partenaires est tout aussi importante que n’importe quel élément de sécurité de votre organisation. Ne pas y accorder d’importance revient à ne pas fermer les portes de vos bureaux la nuit, et à choisir 1234567 comme mot de passe collectif. Vous investissez dans votre sécurité interne, mais négligez les brèches de sécurité ? Autant cadenasser votre porte d’entrée tout en laissant une fenêtre ouverte. Voilà ce que sont les brèches : un point vulnérable. Et voilà pourquoi la sécurité de vos partenaires est aussi importante que la vôtre.

À l’instar de n’importe quelle organisation, AppsFlyer ne fonctionne pas dans une bulle fermée. Les produits d’AppsFlyer intègrent des partis tiers, et nous faisons appel à des prestataires pour des services internes au sein de nombreux départements. À bien des égards, la gestion de la sécurité des partenaires joue un rôle majeur dans la sécurité globale d’AppsFlyer, et nécessite donc toute l’attention de notre équipe de sécurité.

Je présenterai dans ce document les différentes étapes et mesures à prendre avant d’accepter un contrat avec un nouveau prestataire.
Pour renforcer votre sécurité, vous devez suivre 3 étapes

1. Évaluation des risques
2. Hiérarchisation, automatisation et visibilité
3. Surveillance continue

Allons-y.

 

Introduction : tous les partis tiers sont-ils égaux ?

Non.

Différents partenaires, différents risques. Le traiteur qui s’occupe de vos repas du vendredi midi ne représente pas les mêmes risques en terme de sécurité que l’entreprise qui gère vos courriers électroniques.

Avec des ressources pour la sécurité limitées, il est primordial de savoir où concentrer vos efforts. Identifier les prestataires qui requièrent davantage de surveillance est la première étape lorsque l’on envisage de faire appel aux services d’un nouveau partenaire tiers. Il s’agit là d’évaluation des risques. À mesure que votre organisation se développe et que vos ressources diminuent, l’évaluation des risques vous aide à déterminer où et comment diriger vos efforts de sécurité, sans dilapider vos ressources.

 

1. Évaluation des risques

L’évaluation des risques est l’élément clé de tout programme de sécurité de l’information. Pour n’importe quelle organisation, une partie du programme d’évaluation des risques consiste à identifier les risques potentiels qui découlent de la dépendance vis à vis des tiers.

Pour effectuer une évaluation minutieuse des risques, vous devez répondre à quelques questions primordiales :

  1. Le prestataire aura-t-il accès à des informations sensibles ?
  2. Quelle problématique le prestataire va-t-il résoudre ?
  3. L’entreprise dispose-t-elle déjà d’un service similaire ?

Je ne peux pas fournir de logigramme de type “si/alors” pour répondre à ces questions, ni une échelle mobile qu’il faudrait suivre. Ce sont l’infrastructure et les besoins spécifiques de chaque entreprise qui définissent l’évaluation des risques. Les processus d’évaluation des risques vous permettront d’économiser du temps et de l’énergie, et vous aideront à trouver les bonnes réponses.
Une fois que vous aurez répondu à ces 4 questions, vous pourrez plus facilement prendre vos décisions, et les hiérarchiser.

Vos exigences en matières de sécurité doivent être stipulées dans le contrat légal que vous signez avec le partenaire. Cela permettra d’accélérer le processus d’évaluation de la sécurité du partenaire en rassemblant vos demandes sous un seul format.

Au cours de ma carrière, j’ai connu de nombreux prestataires qui trichaient en répondant aux questions relatives à la sécurité. Vous devez vous assurer que l’équipe en charge de la sécurité sera présente lors de la discussion, afin d’avoir un échange direct et professionnel pour soulever les questions importantes.

Enfin, si vos partenaires refusent d’accepter certaines dispositions ou exigences, c’est un signe quant à leur potentiel niveau d’engagement vis à vis de la sécurité en général, et des secteurs à risques qu’il vous faudra prendre en compte.

Subscribe to AppsFlyer content

The latest mobile marketing tips & trends delivered to your inbox.

2. Hiérarchiser les décisions, automatiser le processus et donner de la visibilité

Ralentir les processus, fermer les portes et passer les processus de sécurité sous silence n’est pas la bonne chose à faire.

Hiérarchiser les décisions – L’approche sécuritaire d’AppsFlyer est basée sur la flexibilité, elle fait ses preuves alors que nous continuons de progresser. En maintenant un contact constant avec les différents services, nous gérons les problèmes de sécurité sans ralentir les processus (ou, dans le pire des cas, mettons tout en œuvre pour ne pas être à l’origine du blocage). Les « portes » doivent rester ouvertes, avec une personne de garde en permanence.

Bien entendu, cela ne signifie pas que nous abandonnons tous les processus, mais si nous déterminons que le risque d’un certain partenaire est limité, nous n’irons pas ajouter de vérifications de sécurité supplémentaires.  

Automatiser le processus – Essayez d’automatiser le processus autant que possible. Cela peut se traduire par l’achat d’un logiciel qui vous aidera à gérer vos processus d’évaluation des risques et des relations avec vos partenaires (vous devez simplement penser à bien évaluer le partenaire). Cela permettra à votre équipe d’échelonner son travail, et cela réduira les tensions qui peuvent survenir lorsque des équipes sont obligées d’attendre les réponses provenant de l’équipe de sécurité.

Donner de la visibilité – Assurez-vous que les processus et leurs logiques soient clairs ; non seulement au niveau interne pour l’équipe de sécurité, mais aussi pour tous les employés ou équipes qui souhaitent collaborer avec un partenaire, et pour le partenaire lui-même. Assurez-vous que toutes les personnes impliquées soient tenues au courant des statuts des demandes et de l’existence (ou non) de failles ou problèmes.

 

3. Surveillance continue

La sécurité est comme une rivière, elle n’est jamais statique. Une surveillance continue et permanente est cruciale pour garantir la sécurité de votre entreprise. Les organisations évoluent ; elles se font racheter et transfèrent leurs données à une autre entreprise, elles modifient leurs normes ou déplacent leur siège. Ainsi, si l’un de vos partenaire est racheté, le processus de vérification doit repartir de zéro car c’est comme si vous évaluiez un tout nouveau partenaire. Les eaux stagnantes croupissent. Assurez-vous de réévaluer continuellement les partenaires avec lesquels vous collaborez.

 

Intégrer la sécurité au sein même de l’ADN de votre organisation

Les risques liés aux partenaires tiers ne représentent qu’un seul des nombreux éléments que votre organisation doit prendre en compte pour garantir sa sécurité. Mettre la sécurité au premier plan à chaque étape de l’innovation et de la croissance signifie que vous aurez toujours un temps d’avance pour atténuer les risques.

Contrôlez les risques liés aux partenaires tiers, ne les laissez pas vous contrôler.

 

Découvrez comment notre propre PDG Oren Kaniel considère les risques liés aux partenaires tiers, l’un des 4 piliers d’une plate-forme de marketing essentielle.