For Industries & Services Rep Template Campaign
Souvent, les employés sont considérés comme le maillon le plus faible de la chaîne de sécurité. Pour cette raison, de nombreuses organisations misent sur l’éducation, la formation et la mise en œuvre de protocoles pour leur propre personnel lorsqu’ils évaluent des plans en matière de confidentialité des données. Bien qu’il ne fasse aucun doute que les menaces internes sont une préoccupation réelle, cette approche centrée sur l’interne ne tient pas compte d’une autre menace importante liée à la cybersécurité : les fournisseurs.
Selon une étude menée par BlueVoyant, quatre entreprises sur cinq ont connu une brèche de cybersécurité causée par un fournisseur tier au cours des 12 derniers mois. Les brèches au sein de la chaîne d’approvisionnement — lorsqu’un pirate informatique infiltre le système d’une organisation par l’entremise du fournisseur externe de ce dernier — deviennent monnaie courante. Une brèche récente, qualifiée comme l’une des attaques les plus sophistiquées, complexes et dommageables de tous les temps, était le produit d’un accès à de nombreuses agences gouvernementales et sociétés d’État par des pirates informatiques à partir de SolarWinds, un fournisseur tier de TI. Et ce n’est pas tout. En effet, la liste de grandes marques victimes de brèches associées à des fournisseurs continue de s’allonger.
Que votre organisation fasse affaire avec un fournisseur externe pour impartir ses services TI, ses solutions de services juridiques, ses ressources humaines, son marketing ou bien ses finances ou sa comptabilité, vous devriez garder la confidentialité de vos données (et celle de vos clients) au sommet de votre liste de priorités. Bien qu’elles ne remplacent pas un programme complet d’évaluation de la sécurité du fournisseur, je vais exposer aujourd’hui les points à considérer au minimum lorsque vous évaluez un nouveau fournisseur ou que vous réexaminez un fournisseur existant, accompagnés d’exemples sur la façon dont le service de découverte électronique de Ricoh maintien chaque contrôle de cybersécurité.

De quoi convenez-vous?

Lorsqu’elles concluent un marché avec un nouveau fournisseur, les entreprises doivent passer en revue toutes les considérations liées à la collecte, à la protection et au stockage des données. Dans un article de blogue précédent, nous avons couvert les bases relatives aux conditions d’utilisation pour les particuliers, mais beaucoup de ces principes s’appliquent aux contrats des entreprises.
Avant de signer une entente de niveaux de service (ENS) avec un nouveau fournisseur, protégez vos données en posant au minimum les questions suivantes :

1. Quelle est la réputation du fournisseur?

Si le fournisseur connaît souvent des changements de direction ou de propriétaire, suivez de près les mises à jour ayant trait à leur organisation et à leurs politiques. Faites des recherches afin de déterminer si le fournisseur a été sujet à toute mesure d’application de la réglementation. S’il a été impliqué dans des litiges relatifs à des problèmes de confidentialité des données, ce fait devrait constituer un signal d’alarme immédiat.
Meilleurs pratiques : Nous recourons aux services de BitSight pour continuellement évaluer les cotes de sécurité de nos fournisseurs et faire des rapports sur celles-ci.

2. À quelles données le fournisseur accèdera-t-il?

Ne partagez que le minimum d’information nécessaire pour que le fournisseur puisse respecter ses obligations contractuelles. De cette façon, vous limiterez la quantité de données susceptibles d’être exposées si une brèche survenait. Faites preuve de prudence lorsque vous transmettez des données d’identification personnelle, comme des adresses, des détails de facturation et des dossiers personnels.
Meilleure pratique : Nous traitons toutes les données reçues des clients comme des données à accès restreint. En tant que tel, nous appliquons les plus stricts contrôles de sécurité.

3. Qui peut accéder aux données?

Clarifiez les types de permissions accordées et à qui elles le seront, ce qui est valable autant pour l’équipe du fournisseur que pour les possibles sous-traitants tiers pouvant être impliqués pour impartir des services précis. En gérant les accès privilégiés du fournisseur, vous serez en mesure de superviser ceux qui accèdent aux données de votre organisation et le moment de ces accès.
Meilleure pratique : En appliquant le principe de « privilège minimal » aux données du client, nous donnons aux utilisateurs le niveau de permission minimal requis pour mener à bien les tâches liées à leur poste.

4. Où les données seront-elles stockées?

Déterminez si les données de votre organisation seront stockées sur place, à un centre de données ou dans le nuage. Ensuite, déterminez si les données seront hébergées et si le fournisseur est capable de respecter vos critères de résidence géographique.
Meilleure pratique : Chez Ricoh, nous utilisons des centres de données de niveau 4 (IV) répartis géographiquement de façon redondante, ce qui signifie que nous hébergeons des données dans deux emplacements différents. De cette façon, si un incident survient à un emplacement, les opérations du deuxième ne seront pas affectées. Également, nous nous servons du nuage Microsoft® Azure™ pour héberger les données en toute sécurité. Par défaut, toutes les données sont hébergées en sol canadien, mais grâce à la portée internationale d’Azure, elles peuvent l’être dans la plupart des territoires si la demande en est expressément faite.

5. De quelle façon nos données seront-elles protégées?

Il est essentiel de comprendre les restrictions d’utilisateurs et les droits d’accès du fournisseur. Déterminez si le fournisseur chiffrera les données, s’il lui faudra un VPN pour l’accès et s’il imposera une authentification à deux facteurs. Votre fournisseur devrait aussi effectuer régulièrement une évaluation des risques afin de tester son environnement d’hébergement.
Meilleure pratique : Nous chiffrons les données au repos et en transit, demandons un accès sécurisé à toutes les données des clients et utilisons une authentification à deux facteurs lorsque possible. L’évaluation des risques associés aux environnements d’hébergements est réalisée sur une base régulière.

6. Comment et quand nos données seront-elles détruites?

Demandez au fournisseur quelle est sa politique de rétention des données. Tout comme le fait de retenir plus de données que nécessaire peut augmenter la gravité d’une exposition, plus les données sont gardées longtemps, plus les conséquences d’une brèche peuvent être désastreuses. Assurez-vous que votre ENS indique que les données de votre organisation seront effacées advenant la résiliation du contrat.
Meilleure pratique : À la fin d’un projet, nous effaçons les données des clients de nos systèmes 30 jours après la résiliation des services ou 180 jours après la dernière expédition de livrables.

7. Quel est le plan de reprise après sinistre de votre fournisseur?

Le fournisseur devrait avoir une stratégie – documentée et structurée – pour faire face à un événement perturbateur, comme une brèche, un désastre naturel ou une pandémie. Le plan de reprise après sinistre devrait faire partie du plan plus large de continuité des opérations de l’organisation. Il devrait y avoir des preuves que ce plan est passé en revue et mis à jour selon un horaire fixe.
Meilleure pratique : Le plan de continuité des opérations et les procédures de reprise après sinistre du service de découverte électronique de Ricoh sont adoptés pour faciliter la récupération complète d’environnements client avec pour objectif un délai de reprise de 72 heures. Nous utilisons des centres de données diversifiés géographiquement, qui ont la capacité d’opérer à partir d’une deuxième installation si jamais la première était indisponible. Les employés sont aussi dispersés géographiquement et accèdent à l’environnement à distance à l’aide de moyens sécurisés, ce qui fait qu’un incident dans un emplacement géographique n’affectera pas les capacités de notre équipe à maintenir la performance du système.

8. Quel est le processus de formation sur la sécurité du fournisseur?

En plus de son plan de reprise après sinistre, il est essentiel de comprendre comment les membres de l’équipe du fournisseur sont formés.
Meilleure pratique : Au service de découverte électronique de Ricoh, la formation sur la sécurité est requise pour tous les employés et les entrepreneurs dès l’embauche. Chaque année, tous les employés et les entrepreneurs doivent renouveler leur certification de formation sur la sécurité. L’équipe des ressources humaines, en collaboration avec l’équipe de sécurité, conçoit et fournit le programme de formation. Des campagnes ponctuelles sont aussi réalisées afin de sensibiliser à la sécurité, notamment à la responsabilité individuelle de signaler des événements suspects, des courriels d’hameçonnage potentiels, les accès non autorisés et plus encore.

9. Comment le fournisseur évalue-t-il ses fournisseurs tiers?

Tout comme nous faisons ici, le fournisseur devrait disposer d’une procédure d’évaluation et d’approbation de ces fournisseurs potentiels. La philosophie du maillon le plus faible s’applique ici, et vous ne voulez pas vous heurter plus tard à un échec à cause d’une erreur de votre part.
Meilleure pratique : Nous demandons généralement aux fournisseurs potentiels de compléter un « Cloud Controls Matrix », un questionnaire de référence de la Cloud Security Alliance. De plus, nous approuvons généralement le fournisseur seulement lorsque le document est passé en revue et que l’équipe de sécurité est satisfaite. Une version modifiée du questionnaire est requise selon un horaire fixe afin de s’assurer que tous les protocoles sont maintenus et que tout problème qui pourrait survenir soit réglé.
Ces politiques s’alignent-elles aux vôtres?
Une fois que vous avez compilé les réponses aux questions précédentes, demandez-vous si ces politiques s’alignent avec celles de votre organisation. La norme du fournisseur quant à la confidentialité et la sécurité devraient appuyer la tolérance au risque et les attentes de votre organisation. De plus, les procédures du fournisseur devraient être conformes à toute norme de conformité appropriée, comme la LPRPDE, le RGPD et le CCPA, surtout si certaines de vos données proviennent du Canada ou des États-Unis.
Maintenir une certification répondant aux normes de l’industrie en dit long sur l’engagement d’un fournisseur envers la conformité. Travailler avec un fournisseur détenant une certification de contrôle de la qualité ou de conformité comme l’ISO atteste de la responsabilisation du fournisseur à l’égard des meilleures pratiques de l’industrie.
Reconnaître la valeur de vos données
Ces questions devraient vous aider à examiner de près les fournisseurs potentiels, mais il est aussi important de revisiter ces aspects en continu. Avez-vous des questions? Vous pouvez nous joindre dès aujourd’hui.