Dans cet article, nous allons vous présenter les principaux aspects de la conférence sur DORA présenté par Wavestone Security et ses apports pour la gestion des fournisseurs, dans le contexte de la résilience opérationnelle numérique.
Cette année encore, XMCO a participé aux GS DAYS, conférence francophone sur le thème de la sécurité de l’information ayant eu lieu le 30 novembre 2023.
Gérôme BILLOIS et Damien LACHIVER de la société Wavestone Cybersecurity ont exposé DORA (Digital Operational Resilience Act), une réglementation européenne établissant un cadre visant à garantir la résilience opérationnelle numérique dans le secteur financier. Ils ont également démontré comment cette approche pourrait apporter des avantages significatifs à divers autres secteurs d’activité qui cherchent à gérer les risques associés à leurs fournisseurs.
La gestion des fournisseurs est devenue un enjeu crucial, étant donné que de plus en plus d’entreprises dépendent de tiers, entraînant une interdépendance croissante au fil du temps. Un incident chez un fournisseur peut potentiellement provoquer des interruptions partielles ou complètes de l’activité de l’entreprise. De même, une attaque subie par un fournisseur peut avoir des répercussions sur l’entreprise elle-même, souvent entraînant des fuites de données et des perturbations des services.
Afin de faire face aux différentes menaces pouvant découler des fournisseurs, trois domaines d’attention ont été identifiés :
- Amélioration de la connaissance des tiers et de leurs risques associés.
- Mise en place d’un suivi plus fréquent des fournisseurs dans le temps.
- Préparation à la gestion d’une éventuelle défaillance de l’un ou de plusieurs de ses fournisseurs.
Connaissance de ses fournisseurs
Il s’agit ici de renforcer la compréhension des fournisseurs en créant un registre les répertoriant. Initialement, ce registre est complété pour les principaux fournisseurs, puis étendu progressivement à tous les autres, en y incluant les éléments suivants pour chacun d’entre eux :
- Niveau de dépendance : Évalue le degré de dépendance vis-à-vis d’un fournisseur. Il peut être calculé pour un fournisseur individuel ou pour un groupe de fournisseurs.
- Exigences de sécurité : Normes et exigences de sécurité spécifiques qui doivent être respectées par le fournisseur.
- Spécificités contractuelles : Spécificités contractuelles ou obligations particulières liées au fournisseur.
- 4th party impliqués : Identifie si d’autres fournisseurs (quatrième partie) sont également impliqués dans la prestation du fournisseur.
- Processus métiers soutenus : Processus métiers soutenus ou impactés par le fournisseur.
- Données manipulées : Données manipulées ou traitées par le fournisseur.
- Substituabilité du service : Évalue dans quelle mesure le service du fournisseur peut être substitué en cas de besoin.
Étant donné que cette liste n’est pas limitative, tous les éléments que l’on estime pertinents pour la gestion des risques associés à nos fournisseurs peuvent également être ajoutés.
Suivi régulier des fournisseurs
Pour maintenir un suivi régulier de ces fournisseurs au fil du temps, il est nécessaire d’établir des contrôles conformes à des exigences prédéfinies. Ces contrôles peuvent prendre différentes formes :
- Un reporting régulier conforme aux normes reconnues sur le marché (ISO, NIST, etc.) : Cependant, il convient de noter que cette approche présente des limites, car elle se base principalement sur des déclarations de conformité.
- Quantification du risque par l’intermédiaire d’un prestataire de sécurité : Cette méthode repose essentiellement sur l’évaluation de la sécurité de l’infrastructure exposée sur Internet, tout en reconnaissant les limitations telles que les faux positifs et le manque de connaissance du mécanisme de notation. Cependant, elle est capable d’identifier les vulnérabilités potentielles d’actifs exposés.
- Un audit de sécurité réalisé par un tiers (par exemple, un pentest) : Cette approche vise à déterminer un niveau de sécurité spécifique pour un périmètre défini à un moment donné. Cependant, elle présente l’inconvénient de ne fournir qu’une image ponctuelle de la sécurité.
Dans la mesure du possible, chaque contrôle doit être effectué à une fréquence déterminée et, si cela est envisageable, automatisé.
Gestion des défaillances des fournisseurs
La gestion des fournisseurs requiert la préparation et la réactivité en cas de défaillance. Il est impératif d’identifier une stratégie de sortie « type » pour les tiers critiques. Voici les étapes essentielles à suivre :
- Identification des tiers critiques à couvrir : il est crucial de déterminer quels sont les fournisseurs dont la défaillance pourrait avoir un impact majeur sur votre activité.
- Scénarios possibles et niveau de substituabilité : évaluez les différents scénarios de défaillance et mesurez le niveau de substituabilité des fournisseurs potentiels pour minimiser les interruptions.
- Collaboration avec le tiers : il est recommandé de collaborer étroitement avec le fournisseur afin de définir des solutions de sortie qui puissent être mises en œuvre de manière efficiente.
Il existe deux types de sorties à considérer en cas de défaillance d’un fournisseur : planifiée et forcée.
- Sortie planifiée : Ce type de sortie est prévu en raison de considérations commerciales ou contractuelles. Elle peut être planifiée pour des raisons stratégiques.
- Sortie forcée : Cette sortie est déclenchée par un problème critique, tel qu’une défaillance majeure du fournisseur. Elle est subie et nécessite une réponse rapide.
Il est essentiel de prévoir des mesures pour les deux types de sorties afin de garantir une réactivité adéquate en cas de besoin.
En cas de sortie forcée d’un fournisseur, il est essentiel d’envisager plusieurs solutions afin de réduire les perturbations potentielles. Voici quelques options possibles :
- Suspension de l’activité métier : Dans certaines situations, il peut être nécessaire de mettre temporairement l’activité en pause en attendant de trouver une solution appropriée. Cette option est la moins souhaitable, mais elle peut devenir nécessaire lorsque le maintien de l’activité n’est plus possible ou rentable.
- Migration vers un autre fournisseur de services offrant un service équivalent : Le passage à un autre fournisseur de services peut constituer une option viable pour répondre aux besoins de l’entreprise. Cependant, sa faisabilité peut dépendre de contraintes opérationnelles ou techniques potentielles.
- Reprise de l’activité en interne : Dans certaines circonstances, il peut être préférable de rapatrier l’activité en interne afin de maintenir le contrôle sur les processus critiques.
La gestion des fournisseurs, est une composante cruciale de la résilience opérationnelle numérique, avec DORA (Digital Operational Resilience Act) comme réglementation européenne clé. Les entreprises doivent développer une connaissance approfondie de leurs fournisseurs, suivre régulièrement leur conformité aux normes de sécurité, et se préparer à gérer efficacement les défaillances, qu’elles soient planifiées ou forcées. Cette approche permet de minimiser les risques et les perturbations potentielles, garantissant ainsi la résilience opérationnelle dans un environnement de plus en plus dépendant des tiers.
