Prestataire piraté : protégez votre entreprise en 9 étapes clés

| PROTECTION DES DONNEES

Prestataire piraté : protégez votre entreprise en 9 étapes clés

18h : le couperet tombe. Vous êtes RSSI, et l’impensable se produit : l’un de vos prestataires, un partenaire de longue date, est victime d’une cyberattaque. Pire encore, il héberge vos données les plus sensibles.

Les attaques indirectes par rebond via des prestataires sont en forte recrudescence, avec plus de 24 % des entreprises françaises victimes par ce type de cyberattaque. Faute de ressources internes, de nombreuses sociétés externalisent l’hébergement, la maintenance et la gestion de leurs données auprès de prestataires spécialisés. Ce service d’externalisation, bien que pratique, élargit la surface d’attaque et offre aux cybercriminels l’opportunité de mener des attaques en cascade. Ce type d’attaque est au cœur des préoccupations en matière de cybersécurité, comme en témoignent les réglementations DORA pour le secteur financier et NIS2 pour les autres secteurs. Chaque jour, les sociétés doivent renforcer leur vigilance et leurs efforts de recherche pour se prémunir contre ces menaces. La question de la responsabilité contractuelle est généralement abordée dans le contrat qui lie l’entreprise à son prestataire.

Face à cette situation, Synetis vous accompagne avec 9 recommandations éprouvées : 

1) Cartographier les données et les accès fournis au prestataire

L’entreprise doit, en conformité avec les exigences de DORA et NIS2, avoir une analyse de risques de ce qui est accessible par les prestataires. Cette action peut être réalisée à la fois en amont que durant l’attaque de votre prestataire. Il s’agit de cataloguer les données et/ou les interconnexions avec votre prestataire, puis de réaliser une analyse de risque. L’objectif est d’avoir une compréhension fine des actifs concernés. 

L’analyse de risques peut être réalisée en suivant la méthode de votre choix (EBIOS RM, Méhari…). Celle-ci doit permettre de cartographier où se situent les risques les plus importants issues de la prestation. Ce travail peut être réalisé en amont afin de déterminer si un prestataire est critique ou non, mais aussi lors de l’attaque pour identifier les actifs qui nécessitent des mesures correctives.

2) PCA et prestataires : assurer la continuité en mode dégradé

La rédaction d’un Plan de Continuité d’Activité (PCA) est une étape cruciale qui doit être réalisée en amont pour anticiper ce type de situation.. Le principe est d’obtenir une marche à suivre lors d’une cyber-attaque afin que les activités critiques de l’entreprise puissent continuer d’opérer. Cette démarche est essentielle pour minimiser l’impact financier et protéger la réputation de votre entreprise face à une cyberattaque. L’objectif principal de votre PCA est d’assurer le maintien des fonctions essentielles de votre entreprise, en mode dégradé si nécessaire, en cas de défaillance de votre prestataire. Le terme dégradé veut dire fonctionner avec des sauvegardes redondantes et des solutions de secours

Il s’agit également d’une obligation de DORA et NIS2. Ces réglementations visent à renforcer la résilience des entreprises face aux cyberattaques, en particulier celles ciblant des prestataires de services essentiels, afin d’éviter une paralysie complète d’un secteur d’activité.

3) Sécuriser sa relation prestataire : l'importance d'une stratégie de sortie

L’entreprise doit pouvoir interrompre la prestation à tout moment. Celle-ci nécessite de réaliser un travail en amont et de créer une stratégie de sortie pour ses prestataires. L’objectif est de prévenir toute dépendance excessive envers un fournisseur critique. L’entreprise doit pouvoir mettre fin à la prestation, et se tourner vers un autre prestataire pour garantir la sécurité, et surtout le bon fonctionnement de son activité.

La stratégie de sortie doit contenir : 

  • Des clauses de résiliations de la prestation,
  • Des solutions alternatives,
  • Des plans de transition permettant de supprimer les services et données détenues par le prestataire,
  • Et de les transférer en toute sécurité et intégralement à des prestataires alternatifs ou de les ré-incorporer en interne.

4) Réaliser une levée de doute sur les applications qui peuvent être impactés par l’attaque

Face à une cyberattaque chez un prestataire, la vigilance est de mise : une levée de doute s’impose pour détecter toute tentative d’attaque par rebond.L’attaquant ayant potentiellement rebondi depuis l’infrastructure du prestataire, il est nécessaire d’étendre l’investigation à l’ensemble des applications connectées à ce dernier. L’analyse des logs  doit donc inclure ceux du prestataire, nécessitant une collaboration étroite avec celui-ci. Il est crucial de cartographier précisément les interconnexions entre les systèmes pour identifier toutes les applications potentiellement exposées et vulnérables. Cette investigation détaillée permettra d’établir la présence ou l’absence d’une intrusion.

5) Notifier les clients concernés de la fuite de données

Si vos clients sont concernés, informez-les des données compromises.. Lors d’une cyber-attaque, surtout s’il s’agit de vol de données, il est nécessaire de tenir au courant les premières personnes concernées. Cela permet de réduire grandement l’impact sur l’image de l’entreprise et de maintenir la confiance. DORA impose d’ailleurs une transparence accrue vis-à-vis des clients et des autorités de supervision en cas d’incident majeur. Cette communication doit être claire, concise et précise, en indiquant la nature des données compromises, les risques potentiels et les mesures prises pour y remédier. Il est également crucial de fournir un support adéquat aux clients impactés, en les accompagnant dans les démarches de protection de leurs données.

6) Signalement à l'ANSSI : déclaration et accompagnement

Notifier les autorités compétentes en cas d’attaques cyber est pratique courante lors d’une attaque directe sur son entreprise. L’ANSSI peut accompagner les entreprises victimes de cyberattaque, mais priorise les administrations et les entités régulées. Alternativement, il existe aussi des CSIRT Régionaux. Il s’agit d’équipes de réponse à incidents cyber au profit d’acteurs de taille intermédiaire (PME, ETI, collectivités territoriales et associations). Celles-ci ont pour rôles de mettre en relation les entreprises victimes de cyberattaque avec des partenaires de proximité de réponse à l’incident.   

Ensuite, notifier les autorités compétentes leur permet de mieux comprendre les menaces actuelles, et ainsi adapter leur réponse. L’objectif est de pouvoir s’assurer qu’il n’y ait plus de crise similaire  qui puisse toucher votre entité, ou du moins que vous puissiez bénéficier d’un accompagnement si une attaque avait à se reproduire. 

Selon DORA et NIS2, les délais de communication sont une notification initiale dans les 24h, suivi d’un rapport intermédiaire dans un délai de 72h et d’un rapport final, au plus tard un mois après le premier rapport.

7) Alerter les entités affectées par la fuite de données

Enfin, dès les premiers instants d’une cyberattaque, il est crucial de communiquer de manière transparente avec les parties prenantes. La communication doit s’orienter en plusieurs étapes et pour différentes cibles. Il est important de communiquer un bref résumé de l’attaque aux autres entités, et de les interroger sur leur propre situation : ont-elles été impactées ? Quelles mesures ont-elles prises ?

Cette action s’inscrit parmi les obligations de DORA. L’objectif est de pouvoir garantir que tout le secteur impacté par une attaque, puisse être tenu au courant, et apporter une réponse rapide pour pouvoir continuer son activité

Ainsi, la plus value de cette action est de pouvoir vous apporter des informations sur les actions des autres entités, mais aussi les moyens de réaliser des actions de corrections ou de réductions du risque, avec ces derniers.

8) Responsabilité contractuelle : obtenir un remboursement suite à une faille prestataire

Face à une cyberattaque par rebond via un prestataire, l’analyse des clauses de sécurité contractuelles est essentielle pour déterminer les responsabilités et les recours possibles. L’adoption de règlements et de lois tels que DORA et NIS2 accentuent la responsabilité des entités quant à la surveillance des risques liés aux tiers. Vérifiez si le contrat définit clairement les obligations du prestataire en matière de cybersécurité, notamment la mise en œuvre de mesures de protection, la gestion des vulnérabilités et la notification d’incidents. Examinez les clauses relatives à la responsabilité en cas de faute ou de négligence du prestataire, incluant la possibilité d’obtenir une indemnisation pour les dommages subis. Analysez également les garanties offertes par le sous-traitant, notamment en termes de continuité de service et de reprise d’activité. Ces garanties peuvent être soumises à des exigences comme DORA et NIS2. Il est important de déterminer si le contrat prévoit des audits de sécurité réguliers et des mécanismes de résolution des litiges. Enfin, assurez-vous que le contrat est conforme aux réglementations applicables en matière de protection des données et de cybersécurité, telles que le RGPD et la directive NIS2.

9) Analyse post-incident : retour d'expérience et leçons apprises

Un retour d’expérience (RETEX) approfondi suite à une cyberattaque, et notamment une attaque par rebond via un prestataire, est crucial pour améliorer la sécurité et la résilience de son organisation. Ce RETEX doit aller au-delà des simples exigences réglementaires comme DORA et analyser en profondeur les causes de l’incident, les vulnérabilités exploitées, l’efficacité des mesures de sécurité en place et la réponse à l’incident. Il est important d’identifier les points faibles dans la chaîne de sécurité, qu’ils soient techniques, humains ou organisationnels, et de proposer des solutions concrètes pour y remédier. Le RETEX doit également servir à améliorer la communication et la coordination entre les différentes parties prenantes, internes et externes, afin de garantir une réponse plus rapide et efficace en cas de futur incident. Enfin, il est essentiel de capitaliser sur les leçons apprises pour mettre à jour les politiques de sécurité, les procédures et les plans de continuité d’activité.

Practice CERT et GRC

Sources utilisées : 

https://cyber.gouv.fr/en-cas-dincident

Support de formation DORA de Synetis :

https://www.deep.eu/fr/blog/articles/cloud/actualit%C3%A9s/exit-strategy

https://www.infinylink.fr/blog/solutions-securite-informatique/cybersecurite/nis2-quel-impact-pour-les-sous-traitants/

https://www.pwc.fr/fr/expertises/gestion-des-risques/maitrise-des-risques-technologiques/dora-exigences-reglementaires-europeennes.html#:~:text=Le%20r%C3%A8glement%20DORA%20cr%C3%A9e%20un,de%20la%20communication%20(TIC).

https://www.itrust.fr/directive-nis2/#:~:text=La%20directive%20NIS%202%20impose,et%20la%20d%C3%A9claration%20d’incidents.

Étiquettes : , , , ,