| PROTECTION DES DONNEES
Prestataire piraté : protégez votre entreprise en 9 étapes clés
18h : le couperet tombe. Vous êtes RSSI, et l’impensable se produit : l’un de vos prestataires, un partenaire de longue date, est victime d’une cyberattaque. Pire encore, il héberge vos données les plus sensibles.
Les attaques indirectes par rebond via des prestataires sont en forte recrudescence, avec plus de 24 % des entreprises françaises victimes par ce type de cyberattaque. Faute de ressources internes, de nombreuses sociétés externalisent l’hébergement, la maintenance et la gestion de leurs données auprès de prestataires spécialisés. Ce service d’externalisation, bien que pratique, élargit la surface d’attaque et offre aux cybercriminels l’opportunité de mener des attaques en cascade. Ce type d’attaque est au cœur des préoccupations en matière de cybersécurité, comme en témoignent les réglementations DORA pour le secteur financier et NIS2 pour les autres secteurs. Chaque jour, les sociétés doivent renforcer leur vigilance et leurs efforts de recherche pour se prémunir contre ces menaces. La question de la responsabilité contractuelle est généralement abordée dans le contrat qui lie l’entreprise à son prestataire.
Face à cette situation, Synetis vous accompagne avec 9 recommandations éprouvées :
1) Sécuriser sa relation prestataire : l'importance d'une stratégie de sortie
Cela signifie que l’entreprise a la possibilité de couper la prestation de service à tout moment. Celle-ci nécessite de réaliser un travail en amont et de créer une stratégie de sortie pour ses prestataires. Avoir une stratégie de sortie est une obligation légale de DORA pour les secteurs financiers et assurantiels. L’objectif est de prévenir toute dépendance excessive envers un fournisseur critique. Ainsi, en cas de paralysie d’un prestataire due à une cyberattaque, il faut absolument stopper l’effet domino et protéger ses clients de toute répercussion. Ces derniers doivent pouvoir mettre fin à la prestation, et se tourner vers un autre prestataire pour garantir la sécurité, et surtout le bon fonctionnement de leur activité. Il est également important pour une société française de s’assurer que ses contrats lui permettent de fournir une prestation de remplacement rapidement. De plus, chaque service doit être évalué afin d’identifier les plus critiques
La stratégie de sortie doit contenir :
Des clauses de résiliations de la prestation,
Des solutions alternatives,
Des plans de transition permettant de supprimer les services et données détenues par le prestataire,
Et de les transférer en toute sécurité et intégralement à des prestataires alternatifs ou de les ré-incorporer en interne.
2) Signalement à l'ANSSI : déclaration et accompagnement
Notifier les autorités compétentes en cas d’attaques cyber est pratique courante lors d’une attaque directe sur son entreprise. Les textes DORA et NIS2 en font même une obligation pour les secteurs d’activités concernés par leur champ d’application. En dehors de toutes obligations, il est conseillé d’en faire de même lors d’une attaque sur un prestataire, qui risquerait de vous atteindre.
Premièrement, car l’ANSSI dispose d’un service du nom de CERT-FR. L’agence peut accompagner les entreprises victimes de cyberattaque, mais priorise les administrations et les entités régulées. Alternativement, il existe aussi des CSIRT Régionaux. Il s’agit d’équipes de réponse à incidents cyber au profit d’acteurs de taille intermédiaire (PME, ETI, collectivités territoriales et associations) et implantées sur le territoire régional. Celles-ci ont pour rôles de mettre en relation les entreprises victimes de cyberattaque avec des partenaires de proximité de réponse à l’incident. Par exemple, elles peuvent aider à trouver un prestataire de service compétent en fonction de la nature de l’attaque. Il est important de noter que ces équipes peuvent également fournir une prestation de conseil et d’accompagnement pour renforcer la sécurité des systèmes d’information. La recherche de ces structures est facilitée par l’ANSSI.
Ensuite, notifier les autorités compétentes leur permet de mieux comprendre les menaces actuelles, et ainsi adapter leur réponse. L’objet est de pouvoir s’assurer qu’il n’y ait plus de crise pareille qui puisse toucher votre entité, ou du moins que vous puissiez bénéficier d’un accompagnement si une attaque avait à se reproduire. Cette démarche s’inscrit dans un service de sécurité global, permettant de renforcer la protection au jour le général.
Selon DORA et NIS2, les délais de communication sont une notification initiale dans les 24h, suivi d’un rapport intermédiaire dans un délai de 72h et d’un rapport final, au plus tard un mois après le premier rapport.
Il est à noter que si le règlement DORA et la directive NIS2 ne concernent pas votre entité, ils restent des exemples à suivre en termes de maturité cyber.
3) Cartographier les données et les accès fournis au prestataire
L’entreprise doit, en conformité avec les exigences de DORA et NIS2, avoir une analyse de risques de ce qui est accessible par les prestataires. Cette action peut être accomplie à la fois en amont que durant l’attaque de votre prestataire. Il s’agit de cataloguer les données et/ou les interconnexions avec votre prestataire, puis de réaliser une analyse de risque. L’objectif est d’avoir, sur un document, une cartographie ou un inventaire des actifs concernées, et qu’ils soient liés avec une échelle de gravité. Cela doit permettre de comprendre qu’est-ce qui est menacé par l’attaque, et qu’est-ce qui est le plus critique.
L’analyse de risque peut être réalisée en suivant la méthode de votre choix (EBIOS RM, Méhari…). Celle-ci doit permettre de cartographier où se situent les risques les plus importants issus de la prestation. Ce travail peut être accompli en amont afin de déterminer si un prestataire est critique ou non, mais aussi lors de l’attaque pour identifier les actifs qui nécessitent des mesures correctives. Il est crucial de protéger chaque objet et information sensible au sein de votre site et de votre réseau.
Enfin, DORA demande d’associer la démarche d’analyse de risque avec une politique relative à l’utilisation des services des prestataires, et de la faire revoir fréquemment par le top management.
4) Réaliser une levée de doute sur les applications qui peuvent être impactés par l’attaque
Face à une cyberattaque chez un prestataire, la vigilance est de mise : une levée de doute s’impose pour détecter toute tentative d’attaque par rebond. L’attaquant ayant potentiellement rebondi depuis l’infrastructure du sous-traitant, il est nécessaire d’étendre l’investigation à l’ensemble des applications connectées à ce dernier. L’analyse des logs et des flux réseau doit donc inclure ceux du prestataire, nécessitant une collaboration étroite avec celui-ci. Il est crucial de cartographier précisément les interconnexions entre les systèmes pour identifier toutes les applications potentiellement exposées et vulnérables. Cette investigation détaillée permettra d’établir la présence ou l’absence d’une intrusion. Ce travail d’investigation est une condition essentielle pour déterminer l’ampleur de l’incident. Le type de contrat liant l’entreprise au prestataire doit définir clairement les obligations de chacun en matière de sécurité. L’objet de cette analyse est de circonscrire la menace et de mettre en place les mesures de remédiation appropriées.
5) PCA et prestataires : assurer la continuité en mode dégradé
La rédaction d’un Plan de Continuité d’Activité (PCA) est une étape cruciale qui doit être réalisée en amont pour anticiper ce type de situation. Le principe est d’obtenir une marche à suivre lors d’une cyber-attaque afin que les activités critiques de l’entreprise puissent continuer d’opérer. Cette démarche est essentielle pour minimiser l’impact financier et protéger la réputation de votre société face à une cyberattaque. L’objectif principal de votre PCA est d’assurer le maintien des fonctions essentielles de votre société, en mode dégradé si nécessaire, en cas de défaillance de votre prestataire. Le terme dégradé veut dire fonctionner avec des sauvegardes redondantes et des solutions de secours.
Il s’agit également d’une obligation de DORA et NIS2. Ces réglementations visent à renforcer la résilience des entreprises face aux cyberattaques, en particulier celles ciblant des prestataires de services essentiels, afin d’éviter une paralysie complète d’un secteur d’activité.
Le contenu exact et la forme de votre PCA sont détaillés dans notre autre article de ce Security Corner. L’ajout à faire pour vous protéger de vos prestataires est que votre PCA doit pouvoir couvrir ce scénario là.
6) Alerter les entités affectées par la fuite de données
Enfin, dès les premiers instants d’une cyberattaque, il est crucial de communiquer de manière transparente avec les parties prenantes. La communication doit s’orienter en plusieurs étapes et pour différentes cibles. Il est important de communiquer un bref résumé de l’attaque aux autres entités, et de les interroger sur leur propre situation : ont-elles été impactées ? Quelles mesures ont-elles prises ? Il est essentiel pour les entreprises Françaises de mener une recherche approfondie sur les meilleures pratiques en matière de communication de crise. Par exemple, une communication efficace permet de bénéficier d’une meilleure gestion de la réputation et de la confiance des parties prenantes.
Cette action s’inscrit parmi les obligations de DORA. L’objectif est de pouvoir garantir que tout le secteur impacté par une attaque, puisse être tenu au courant, et apporter une réponse rapide pour pouvoir continuer son activité.
Ainsi, la plus value de cette action est de pouvoir vous apporter des informations sur les actions des autres entités, mais aussi les moyens de réaliser des actions de corrections ou de réductions du risque, avec ces derniers.
Ensuite, notifier les autorités compétentes leur permet de mieux comprendre les menaces actuelles, et ainsi adapter leur réponse. L’objectif est de pouvoir s’assurer qu’il n’y ait plus de crise similaire qui puisse toucher votre entité, ou du moins que vous puissiez bénéficier d’un accompagnement si une attaque avait à se reproduire.
Selon DORA et NIS2, les délais de communication sont une notification initiale dans les 24h, suivi d’un rapport intermédiaire dans un délai de 72h et d’un rapport final, au plus tard un mois après le premier rapport.
7) Notifier les clients concernés de la fuite de données
Face à une cyberattaque par rebond via un prestataire, l’analyse des clauses de sécurité contractuelles est essentielle pour déterminer les responsabilités et les recours possibles. L’adoption de règlements et de lois tels que DORA et NIS2 accentuent la responsabilité des entités quant à la surveillance des risques liés aux tiers. Vérifiez si le contrat définit clairement les obligations du prestataire en matière de cybersécurité, notamment la mise en œuvre de mesures de protection, la gestion des vulnérabilités et la notification d’incidents. Examinez les clauses relatives à la responsabilité en cas de faute ou de négligence du prestataire, incluant la possibilité d’obtenir une indemnisation pour les dommages subis. Analysez également les garanties offertes par le sous-traitant, notamment en termes de continuité de service et de reprise d’activité. Ces garanties peuvent être soumises à des exigences comme DORA et NIS2. Il est important de déterminer si le contrat prévoit des audits de sécurité réguliers et des mécanismes de résolution des litiges. Enfin, assurez-vous que le contrat est conforme aux réglementations applicables en matière de protection des données et de cybersécurité, telles que le RGPD et la directive NIS2.
8) Responsabilité contractuelle : obtenir un remboursement suite à une faille prestataire
Face à une cyberattaque par rebond via un prestataire, l’analyse des clauses de sécurité contractuelles est essentielle pour déterminer les responsabilités et les recours possibles. L’adoption de règlements et de lois tels que DORA et NIS2 accentuent la responsabilité des entités quant à la surveillance des risques liés aux tiers. Vérifiez si le contrat définit clairement les obligations du prestataire en matière de cybersécurité, notamment la mise en œuvre de mesures de protection, la gestion des vulnérabilités et la notification d’incidents. Examinez les clauses relatives à la responsabilité en cas de faute ou de négligence du prestataire, incluant la possibilité d’obtenir une indemnisation pour les dommages subis. Analysez également les garanties offertes par le sous-traitant, notamment en termes de continuité de service et de reprise d’activité. Ces garanties peuvent être soumises à des exigences comme DORA et NIS2. Il est important de déterminer si le contrat prévoit des audits de sécurité réguliers et des mécanismes de résolution des litiges. Enfin, assurez-vous que le contrat est conforme aux réglementations applicables en matière de protection des données et de cybersécurité, telles que le RGPD et la directive NIS2.
9) Analyse post-incident : retour d'expérience et leçons apprises
Un retour d’expérience (RETEX) approfondi suite à une cyberattaque, et notamment une attaque par rebond via un prestataire, est crucial pour améliorer la sécurité et la résilience de son organisation. Ce RETEX doit aller au-delà des simples exigences réglementaires comme DORA et analyser en profondeur les causes de l’incident, les vulnérabilités exploitées, l’efficacité des mesures de sécurité en place et la réponse à l’incident. Il est important d’identifier les points faibles dans la chaîne de sécurité, qu’ils soient techniques, humains ou organisationnels, et de proposer des solutions concrètes pour y remédier. Le RETEX doit également servir à améliorer la communication et la coordination entre les différentes parties prenantes, internes et externes, afin de garantir une réponse plus rapide et efficace en cas de futur incident. Enfin, il est essentiel de capitaliser sur les leçons apprises pour mettre à jour les politiques de sécurité, les procédures et les plans de continuité d’activité.
Practice CERT et GRC
Sources utilisées :
https://cyber.gouv.fr/en-cas-dincident
Support de formation DORA de Synetis :
https://www.deep.eu/fr/blog/articles/cloud/actualit%C3%A9s/exit-strategy
