Aujourd'hui, il est pratiquement impossible de trouver une entreprise qui n'utilise pas de fournisseurs tiers. Souvent, la livraison du produit ou du service nécessite que le tiers ait accès aux systèmes. Mais est-il possible de rendre compte de chaque utilisateur tiers connecté au réseau d'entreprise ? La plupart des organisations évalue le trafic interne. Elles peuvent fournir un accès VPN avec une authentification multifacteur à leurs fournisseurs pour un accès qu’elles pensent « sécurisé », mais peuvent-elles être sures qu'il n'y a pas de trous dans leur défense ?

Une étude récente a révélé qu’une organisation moyenne compte 182 fournisseurs se connectant à ses systèmes chaque semaine, et que 58% des organisations pensent avoir subi une violation liée à l’accès d’un fournisseur. Les cas ne manquent pas : Target, Home Depot, etc. Ces violations - résultant d'un accès tiers mal sécurisé - ont causé des dommages importants à la marque et aux finances des deux sociétés. Alors une question se pose : l’entreprise fait-elle trop confiance à ses fournisseurs en matière de cybersécurité ?

De toute évidence, les fournisseurs et les tiers sont essentiels à l’organisation, mais il faut absolument disposer d'un contrôle précis sur leur accès. Examinons certaines des menaces associées à l'accès des fournisseurs. Nous pouvons répartir le risque en deux domaines, comme suit :

Risque de l'extérieur

Entrepreneurs, sociétés de maintenance, fournisseurs de services gérés, etc. - la liste des tiers qui peuvent avoir accès au réseau à tout moment est longue. Beaucoup de ces fournisseurs et leurs employés se connectent à distance aux systèmes pour effectuer leurs tâches quotidiennes. Le problème est que la plupart des systèmes avec lesquels ils interagissent sont également connectés auréseau d'entreprise. De nombreuses violations ont démontré que les réseaux des fournisseurs peuvent être exploités pour accéder à un environnement.

Vecteurs d'attaque typiques

Les cybercriminels peuvent voler des identifiants pour accéder à des systèmes contrôlés par le fournisseur, puis exploiter les vulnérabilités et les privilèges mal gérés pour se déplacer dans toute l’organisation. La sécurité d’un environnement peut reposer sur les pratiques et les contrôles de sécurité d'un tiers.

Il y a une prise de conscience croissante : la décision de l'octroi d'un accès à un réseau à un fournisseur doit être basée sur plus qu'une simple foi aveugle. Les organisations doivent s'assurer qu'elles mettent en place des contrôles robustes pour atténuer le risque de mise en danger de la sécurité par les fournisseurs. Il faut comprendre non seulement la technologie et les outils que les fournisseurs utilisent pour accéder au réseau, mais aussi surveiller et savoir quand ils accèdent aux systèmes et toutes les activités de session qu'ils effectuent.

Par William Culbert, directeur Europe du Sud de BeyondTrust (ex Bomgar)