Comme si la gestion d’un mélange en constante évolution de télétravailleurs et d’employés au bureau n’était pas assez compliquée, le risque lié aux tiers est l’un des plus grands problèmes de sécurité auxquels les conseils d’administration sont confrontés à la suite de défaillances très médiatisées de la chaîne d’approvisionnement comme la cyberattaque de SolarWinds en 2020, qui a révélé comment un petit risque isolé peut se transformer en un risque systémique menaçant l’écosystème plus large de la chaîne d’approvisionnement.
Les entreprises dépendent énormément des écosystèmes tiers. Ils peuvent dynamiser votre chaîne d’approvisionnement et exploiter des réserves de valeur potentiellement énormes en attirant de nouveaux clients, en améliorant les opérations via la réduction des délais de production et de livraison, et en offrant à vos clients une expérience exceptionnelle. À mesure que les écosystèmes commerciaux deviennent plus complexes et géographiquement dispersés, les responsables informatiques doivent fournir aux conseils d’administration leur expertise concernant les risques numériques que posent les relations avec des tiers. Ainsi, dans quelle mesure devriez-vous vous préoccuper du risque numérique lié aux tiers ? En bref, très sérieusement.
Risques liés aux tiers dans le monde numérique
Une étude de Gartner révèle que plus de huit entreprises sur dix découvrent des risques liés à des tiers après avoir procédé à une diligence raisonnable, et plus de 31 % de ces risques ont un impact de taille sur l’entreprise.
D’une manière générale, un tiers est une entité externe avec laquelle votre entreprise fait affaire. Il peut s’agir de prestataires de services, de fournisseurs, de vendeurs, de fabricants sous contrat, de distributeurs, de revendeurs et d’auditeurs, pour n’en citer que quelques-uns.
L’une des fonctions essentielles de l’informatique est de protéger les activités de l’entreprise et de maintenir les individus mal intentionnés en dehors des réseaux internes grâce à des pare-feu et des réseaux privés virtuels (VPN). Cependant, l’accélération de la transformation digitale impose souvent de donner à des utilisateurs tiers l’accès aux données les plus sensibles de l’entreprise. Cela signifie mettre les applications et services B2B à la disposition de leur chaîne d’approvisionnement externe et de leurs clients sur Internet. Pas moins de 82 % des entreprises donnent à des tiers l’accès à toutes leurs données basées sur le cloud. Le problème est que les entreprises disposent de peu d’informations sur les protocoles de sécurité de leurs partenaires ou sur les dispositifs qu’ils utilisent pour se connecter à leurs réseaux informatiques et industriels.
Une confiance inappropriée dans les tiers crée des problèmes de sécurité pour le conseil d’administration et le service informatique
Le VPN est l’une des méthodes traditionnelles de connexion de tiers aux systèmes backend. Un VPN place les utilisateurs directement sur le réseau avec un accès IP complet, leur permettant d’explorer et de découvrir (et potentiellement de surveiller) vos applications et données privées.
Cette approche pose deux problèmes. Commençons par l’expérience utilisateur.
Le VPN implique de forcer l’utilisateur à passer par un point d’entrée unique pour ensuite l’acheminer vers un autre endroit où il sera inspecté, par exemple un data center centralisé ou un fournisseur de cloud public. En d’autres termes, vous envoyez l’utilisateur sur un itinéraire détourné pour effectuer un contrôle de sécurité du trafic et ralentissez ainsi sa connexion Internet.
L’élargissement de la surface d’attaque constitue l’autre problème. Les VPN sont conçus avec une passerelle VPN entrante qui se trouve à la périphérie du réseau et qui écoute les pings entrants pour confirmer l’accessibilité. Le clustering et l’équilibrage de charge de ces piles sur plusieurs points d’entrée sont également indispensables pour garantir une haute disponibilité. Avec ce type d’architecture, il convient non seulement de gérer le port d’écoute sur le réseau, mais également les surfaces d’attaque liées à toutes les ressources que l’utilisateur tiers peut consulter et potentiellement exposer aux hackers.
Gérer les risques de sécurité des tiers pour créer et protéger des ressources de valeur
Les utilisateurs tiers ignorent souvent les implications et les dangers d’un accès trop privilégié, qui peut mettre en danger l’ensemble de votre système et de vos opérations.] Il est temps de remplacer cette méthode traditionnelle de connexion des tiers au réseau, car elle ne fonctionne tout simplement plus dans un monde où les données et les applications sont distribuées. Une approche continue et itérative qui incarne les principes du Zero Trust vous permet de gérer efficacement vos risques tiers :
- Sécurisez la connectivité des applications sans accès au réseau. Ne placez jamais d’utilisateurs tiers directement sur votre réseau. Supprimez les accès trop privilégiés aux applications, données et systèmes critiques.
- Minimisez la surface d’attaque externe et interne. Évaluez votre surface d’attaque avec notre outil d’analyse de la surface d’attaque Internet. Minimisez les risques grâce à la microsegmentation des applications. Activez un accès basé sur des politiques, peu importe d’où vient l’utilisateur ou où il va. Créez une connexion Zero Trust, de type segment unique (« segment-of-one ») entre le partenaire et la ressource à laquelle il doit accéder.
- Surveillez les activités suspectes. Supposez qu’aucun utilisateur ou appareil n’est digne de confiance et peut être hacké. Suivez chaque ressource qu’un utilisateur utilise. Vérifiez en permanence que l’utilisateur est bien celui qu’il prétend être et qu’il ne fait que ce qui est nécessaire à son rôle.
Quatre questions à poser concernant les risques liés aux tiers
En surmontant les épreuves de stress induites par la pandémie sur les opérations commerciales, les responsables informatiques sont entrés sur une scène beaucoup plus importante, étendant leur influence et leur rôle au sein de leur société. Cela leur donne l’occasion d’accélérer la transformation digitale de votre écosystème commercial et d’apporter une valeur ajoutée durable. Ainsi, comment faire en sorte que vos partenaires restent productifs tout en restant vigilants face aux attaques dont votre société est la cible ?
Voici quatre questions que vous devriez poser à vos équipes pour évaluer les risques liés aux tiers :
- En combien de temps un fournisseur ou un partenaire peut-il accéder à nos systèmes aujourd’hui ?
- Quels utilisateurs tiers ont besoin d’accéder à nos données, applications et autres informations sensibles, et que se passerait-il si elles étaient compromises ?
- Quelle est notre approche d’autorisation de l’accès à nos systèmes pendant les différentes phases du cycle de vie des tiers : diligence raisonnable pré-contractuelle, passation de contrats, intégration, surveillance et résiliation ?
- L’accès d’un tiers au réseau est-il vraiment nécessaire ?
Zero Trust simplifie et sécurise la collaboration avec les partenaires
Zscaler Zero Trust Exchange est une approche moderne qui permet des connexions rapides et sécurisées, et qui favorise la collaboration avec vos partenaires de n’importe où. Fondé sur le principe Zero Trust de l’accès sur la base du moindre privilège, cette solution fournit une sécurité complète grâce à l’identité basée sur le contexte et l’application des politiques.
Zscaler dispose d’un avantage considérable pour résoudre le problème de l’accès sécurisé des tiers. Zero Trust Exchange opère dans 150 data centers à travers le monde, garantissant un service proche de vos utilisateurs externes, au même endroit que les fournisseurs de cloud et les applications auxquelles ils accèdent. Il garantit le chemin le plus court entre vos utilisateurs et leurs destinations, offrant une expérience utilisateur exceptionnelle. Zscaler vous permet de réduire les coûts en éliminant les VPN coûteux, de réduire les risques en éliminant les vecteurs d’attaque ciblés par les acteurs malveillants et de donner à votre entreprise les moyens de collaborer de manière productive avec les partenaires externes.
Il est temps de faire passer votre écosystème d’entreprise au niveau supérieur en gérant les risques liés aux tiers avec un accès réseau Zero Trust pour vos applications privées. Permettez-nous de vous aider à franchir les prochaines étapes de votre parcours de transformation.
Consulter le descriptif de la solution : Zscaler Private Access pour un accès tiers sécurisé
Procéder à un essai : Expérience interactive de Zscaler Private Access
