Les sous-traitants : maillon faible du dispositif de sécurité des systèmes d’information

Le 13 septembre 2024, la Caisse Nationale d’Assurance Vieillesse (CNAV) a annoncé avoir été la cible d’une cyberattaque visant l’Assurance retraite, compromettant les données personnelles de 370 000 personnes. Parmi les informations dérobées figuraient des données sensibles telles que les adresses, les numéros de sécurité sociale et les estimations de revenus des personnes concernées. Identique aux vols des données chez Truffaut, Cultura et Boulanger, l’intrusion a été réalisée par l’usurpation d’un des comptes de prestataires externes. Face à l’augmentation des cyberattaques ciblant les sous-traitants, les entreprises voient leur chaîne de sécurité exposée. Ces incidents mettent en exergue la nécessité de renforcer la cybersécurité des entreprises sur l’ensemble de leur chaine de sous-traitance.

Les organismes de prévoyance et les mutuelles sont des cibles privilégiées aux cyberattaques en raison de la valeur sensible des données détenues telles que des données financières et de santé, prisées sur le dark web. Leur vulnérabilité est accentuée par la digitalisation croissante de leurs activités et leur forte dépendance aux sous-traitants. Ces interconnexions avec les sous-traitants les exposent à des failles de sécurité dans leurs chaînes de sécurité informatique. En effet, bien que les entreprises prennent en compte ces risques et renforcent leur système de sécurité, les attaques passent de plus en plus par les prestataires externes. Souvent de plus petites tailles et moins bien protégés, ces derniers deviennent des portes d’entrée pour les cybercriminels, leur permettant d’accéder aux systèmes informatiques de grandes entreprises ou a minima à leurs données.

Ces incidents soulèvent des interrogations sur la capacité à prévenir de telles attaques et à les contrer efficacement. Un enjeu d’autant plus prégnant lorsque ces cybercriminels utilisent de multiples techniques pour parvenir à leurs fins.

Enseignements tirés des crises récentes

Les cybercriminels exploitent de nombreuses méthodes pour s’infiltrer dans les systèmes informatiques. Cinq techniques sont principalement utilisées :

• Le phishing, utilisant des mails ou messages frauduleux qui semblent provenir de sources fiables pour dérober des informations sensibles,
• Les attaques par déni de service consistent à envoyer une avalanche de requêtes à un serveur, jusqu’à le saturer et le rendre indisponible,
• La rétro-ingénierie, qui consiste à analyser les logiciels et matériels pour déceler leurs failles et ainsi offrir aux cybercriminels une porte d’entrée souvent invisible,
• L’usurpation d’identité permet aux attaquants de se faire passer pour une personne ou une entreprise afin d’accéder à des informations sensibles ou des comptes protégés,
• Les ransomwares sont également redoutables : ces logiciels malveillants s’installent sur les systèmes informatiques afin d’extorquer de l’argent en menaçant de bloquer les données – ces attaques deviennent de plus en plus compliquées à contrôler car elles reposent sur un système de double extorsion, incluant à la fois le vol de données sensibles et le chiffrement de ces dernières.

Les dernières crises ont souligné un point crucial : l’importance de l’environnement à prendre en compte. Dans ce contexte, les institutions financières doivent redoubler de vigilance en matière de sécurité informatique, tant en interne avec l’accentuation du télétravail et l’usage des Technologies de l’Information et de la Communication (TIC[2]) qu’en externe avec la gestion et le suivi des sous-traitants.

En effet, les grandes entreprises collaborent fréquemment avec de nombreux sous-traitants. Chaque accès crée une vulnérabilité supplémentaire. Les sous-traitants souvent de plus petites tailles, ne disposent pas des mêmes moyens, des mêmes ressources que les grosses entreprises. Ils ont un budget limité qui se traduit par des investissements en cybersécurité limités, ce qui peut les contraindre dans la mise en place de systèmes de protection adéquates et dans le recrutement d’experts en cyber. Leur protocole de sécurité peut s’avérer moins rigoureux et les utilisateurs moins sensibilisés aux risques cyber, ce qui augmente les failles non détectées. Certaines entreprises ne suivent pas les mises à jour des logiciels et laissent leurs systèmes vulnérables. En outre, selon la typologie de la mission les sous-traitants peuvent avoir accès aux données sensibles de l’entreprise, donnant ainsi une possibilité aux cybercriminels d’y accéder.

Avec un risque de réputation…

Lorsqu’une attaque survient via un sous-traitant, l’entreprise cliente est souvent perçue comme responsable par le public et les régulateurs, car elle est censée protéger les données de ses clients. Cette exposition peut rendre les grandes entreprises vulnérables aux atteintes réputationnelles.

Par conséquent, les entreprises du secteur financier doivent sécuriser leurs réseaux de systèmes informatiques et prendre en compte un environnement davantage exposé aux cyberattaques. Ainsi, l’approche réticulaire, qui consiste à analyser les réseaux de dépendance de l’entreprise, devient essentiel pour comprendre ces interdépendances.

Par ailleurs, les entreprises ont davantage recours aux TIC telles que des réseaux, des plateformes et des appareils multiples. Bien que ces technologies jouent un rôle clé dans la transformation numérique et facilitent l’accès à l’information, celles-ci laissent place à de nouvelles opportunités pour les cybercriminels. La diversité d’outils TIC utilisés par une même entreprise crée de nombreux points d’entrée pour les cybercriminels, augmentant ainsi le risque d’attaque. Les technologies sont souvent complexes ce qui les rend difficile à surveiller et à protéger. Les méthodes des cybercriminels évoluent rapidement leur permettant d’exploiter les failles avant même que les propriétaires des TIC aient eu le temps de prendre des mesures correctives ou de mettre en place des mesures de sécurité.

Les risques liés aux facteurs humains ne sont pas négligeables. Les employés constituent un point d’entrée de nombreuses cyberattaques avec l’usage de mots de passe non sécurisés, de mots de passe identiques à plusieurs comptes, le stockage du mot de passe dans un lieu non sécurisé, le téléchargement de fichier frauduleux, etc.

Apports de la réglementation DORA

Pour faire face à ces vulnérabilités, l’Union Européenne a adopté le 17 novembre 2022 le règlement Digital Operational Resilience Act (DORA). Ce texte vise à renforcer la résilience opérationnelle numérique afin de permettre aux entreprises financières la prévention des cyberattaques et la poursuite de leurs activités en cas d’incidents majeurs liés aux TIC évitant ainsi une vulnérabilité systémique. DORA fixe des normes uniformes pour une meilleure protection des données clients, la gestion des risques TIC et la surveillance des prestataires de services, renforçant ainsi la sécurité au niveau européen.

Ce règlement européen a donné lieu à la publication de deux volets principaux, apportant des précisions sur les modalités de mise en œuvre par les entreprises afin d’améliorer leur résilience.

Le premier volet a été publié en janvier 2024 et porte spécifiquement sur la gestion des TIC :

• Gestion des risques liés aux TIC : il est attendu des entreprises du secteur financier de développer des stratégies de gestion des risques TIC adaptées à leur taille, leur nature et leur complexité. Cela inclut la mise en place de processus robustes pour identifier, protéger, détecter et répondre aux incidents TIC, tout en assurant la continuité des services critiques.
• Notification des incidents : les entreprises doivent signaler rapidement tout incident majeur lié aux TIC aux autorités compétentes. Des procédures précises doivent être rédigées afin de gérer et notifier ces incidents, avec une classification selon la gravité des cyberattaques.
• Gestion des sous-traitants TIC : les prestataires tiers, souvent sources de vulnérabilités, doivent être soumis à une surveillance rigoureuse. Les entreprises doivent s’assurer que leurs contrats incluent des clauses de sécurité et de continuité strictes pour les services critiques.

Le deuxième volet a été publié en juillet 2024, celui-ci renforce les exigences en matière de gouvernance TIC et de tests de résilience :

• Gouvernance TIC : les conseils d’administration et la direction des entreprises doivent être fortement impliqués dans la gestion des risques liés aux TIC. Cette implication accrue leur permet de superviser directement la mise en œuvre des politiques de résilience et des contrôles de sécurité. A ce titre, après avoir fait l’objet à plusieurs reprises de manquements dans la protection de ses produits et services, Microsoft a annoncé, en septembre 2024, la création d’une gouvernance spécifique à la gestion de la cybersécurité. La sécurité est désormais définie comme une “priorité essentielle” pour les 220 000 employés de Microsoft, qui précise que la rémunération des cadres dirigeants sera liée aux performances en matière de sécurité. Des modules de formation réguliers sont aussi prévus à l’attention des salariés.
• Tests de résilience réguliers : DORA impose aux entreprises de réaliser régulièrement des tests de résilience opérationnelle, y compris des simulations de cyberattaques et des exercices de continuité. Ces tests permettent d’évaluer l’efficacité des dispositifs de sécurité en place et d’améliorer les plans de continuité d’activité. Ce concept de résilience opérationnelle met ainsi l’accent sur la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche basée sur la prévention vers une approche plus large et proactive. Cette dernière partant du principe que les incidents même les moins probables vont se produire et qu’il faut donc être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.

Le 15 octobre dernier, le gouvernement français a déposé un projet de loi intitulé « Résilience des infrastructures critiques et renforcement de la cybersécurité » permettant de transposer le règlement DORA ainsi que les directives :

• « REC » sur la résilience des entités critiques du 14 décembre 2022, visant à garantir la continuité de services essentiels au marché intérieur européen.
• « NIS2 » du 27 décembre 2022, qui établit un niveau commun de cybersécurité dans l’UE pour certaines entités qualifiées comme essentielles ou importantes, prolongeant la directive NIS1.

Le projet de loi sera bientôt examiné par l’Assemblée nationale, puis par le Sénat. L’adoption officielle devra intervenir avant la date limite du 17 janvier 2025.

Les solutions opérationnelles

Les sous-traitants jouent un rôle central dans l’écosystème des organismes financiers. Pour les raisons exposées, les prestataires externes ont toujours représenté un risque opérationnel et de réputation. Ainsi, la réglementation telle que Solvabilité II pour les organismes assurantiels et Bâle II pour les organismes bancaires avaient déjà imposés de mettre en place un dispositif de maîtrise des risques pour les activités ou fonctions externalisées critiques ou importantes.

Face aux cybermenaces et en vue de renforcer leur résilience en matière de sécurité informatique, les organismes financiers sont contraints de faire évoluer leur dispositif de maitrise des risques global. Par conséquent, il devient essentiel pour les institutions financières de mettre en place les solutions suivantes :

• Mettre en place une gouvernance dédiée à la cybersécurité pour surveiller les risques cyber internes et les risques cyber des sous-traitants. Cela se traduit par la définition puis le maintien d’une organisation structurée autour de la gestion des risques liés aux technologies de l’information.
• Modifier les politiques de sous-traitance en capitalisant sur les travaux déjà engagés dans la mise en œuvre du dispositif de maîtrise des externalisations à travers la modification de la politique de sous-traitance, ainsi que l’ensemble de la documentation existante de gestion des risques associés aux PSEE (Prestation de Service Essentielle Externalisée) pour les banques et les AFICE (Activité ou Fonction Importante ou Critique Externalisée) pour les assureurs dans le but de renforcer le dispositif et d’y intégrer les risques de cyber sécurité (politique, procédures, plan de contrôle, questionnaire d’audit, reporting…) ;
• Réviser les dispositifs de gestion des risques pour prendre en considération les scénarios les moins probables et les tester afin d’évaluer sa capacité à se protéger. Ces tests incluent des simulations de cyberattaques réelles, dans le but de mieux comprendre les vulnérabilités et de renforcer la sécurité des systèmes. Par ailleurs, il apparait essentiel de garantir que les plans de continuité d’activité soient mis à jour et testés régulièrement, pour assurer la reprise rapide des services critiques en cas de cyberattaque. Il en va de même pour vérifier la réalisation de ces tests par ses sous-traitants ;
• Partager les leçons tirées des :
  • Tests de plan de continuité d’activité réalisés avec chaque partenaire,
  • Résolutions des cyberattaques contrées ou rencontrées.

Adequation Advisory a constitué une équipe d’experts pluridisciplinaire afin de vous accompagner sur vos enjeux de mise en conformité aux nouvelles exigences de DORA et vous aider à renforcer votre résilience opérationnelle numérique.

[1] Argus de l’assurance, article – cyber : 67% des entreprises victimes de cyberattaques selon Hiscox – https://www.argusdelassurance.com/tech/cyber-67-des-entreprises-victimes-de-cyberattaques-selon-hiscox.233295

[2] TIC=Technologies de l’information et de la communication, sont un ensemble de technologies utilisées pour transmettre, enregistrer, créer, partager ou encore échanger des informations. Telles que des ordinateurs, internet ou encore la téléphonie, ce sont donc des outils importants pour toutes les entreprises.