Les risques du métier : les sous-traitants sont-ils des Snowden en puissance ?

Le programme de surveillance américain PRISM a récemment fait la une des médias, tout comme Edward Snowden, expert en sécurité et ex-collaborateur de Booz Allen Hamilton, un des multiples sous-traitants du département de la défense américain.

Edward Snowden a quitté son poste avec des « milliers » de documents du Gouvernement classés TOP SECRET, interdits aux étrangers. Suite à ses révélations, Edward Snowden a été inculpé le 22 juin 2013 par le gouvernement américain, sous les chefs d’accusation d'espionnage, vol et utilisation illégale de biens gouvernementaux.
Certains le perçoivent depuis comme un héros des temps modernes qui a su dénoncer les abus de pouvoir de la National Security Agency (NSA). D’autres le considèrent, au contraire, comme un traître qui met en péril la sécurité de son pays en diffusant des données hautement confidentielles…

Au-delà de ce débat d’opinion, cette affaire rappelle que les dommages engendrés par les fuites de données peuvent être immenses et que collaborer avec des tiers ou des sous-traitants génère un certain nombre de risques.
Aujourd’hui, toute organisation cherche à gagner en flexibilité et à créer davantage de valeur, que ce soit pour ses actionnaires ou ses clients. Dans cette optique, elle a la possibilité d’externaliser une partie de ses activités auprès de fournisseurs de services ou de sous-traitants spécialisés. Or, des données personnelles de clients sensibles ou des éléments de propriété intellectuelle n’ont pas à être partagés avec des tiers sans précaution, sous peine d’entraîner des risques considérables pour les DSI et pour les dirigeants de l’entreprise au sens large.

Pour éviter les fuites de données
, qu’elles soient intentionnelles (comme dans le cas de Snowden) ou non (suite à une faille de sécurité que subirait le sous-traitant, par exemple), les entreprises ont donc tout intérêt à étendre le périmètre d’application de leurs règles et procédures de sécurité à leurs sous-traitants.

Avant toute chose, le sous-traitant doit faire l’objet d’une évaluation minutieuse

Il va sans dire qu’un partenaire qui accède à des données sensibles doit être évalué afin que l’on puisse s’assurer de la pertinence de ses outils et processus de sécurité (pare-feux, système de prévention d’intrusion et des fuites de données, contrôle d’accès et d’identité, systèmes de protection contre les menaces avancées, gestion des patchs, gestion de l’obsolescence du parc, outils de type SIEM…). Bien souvent, les entreprises voient alors les outils informatiques comme des « facilitateurs ». En effet, ces précautions élémentaires leur permettent de garantir leur conformité réglementaire et de minimiser les risques d’intrusion ou de fuite de données. Les cybercriminels s’intéressant davantage aux cibles présumées “faciles”, telles que les sous-traitants, qui ont accès à certaines données confidentielles de l’entreprise, ces mesures vont leur compliquer la tâche.

Idéalement, lorsqu’elles sélectionnent leurs sous-traitants, les entreprises impliqueront donc en amont les RSSI, les managers de l’entreprise et les services financiers, mais aussi la direction juridique comme la direction des ressources humaines. Malheureusement, la plupart du temps, les Directions Informatiques ne sont consultées qu’une fois le sous-traitant choisi. Lorsque des impératifs de sécurité sont soulevés, il est donc parfois déjà trop tard. Néanmoins, la démarche la plus pertinente pour prévenir les fuites de données comme dans le cas de l’affaire Snowden, est de contrôler les identités et les accès. Il reste donc essentiel de prendre le temps de décider précisément le niveau d’accès que requiert chaque sous-traitant en fonction de ses missions, d’adopter le principe du privilège minimum sur la base du « besoin d’en connaître » et d’en assurer une gestion centralisée et traçable.
Ces actions doivent être décidées et réalisées de préférence avant que les individus n’accèdent au système d’information. Reste que ces sous-traitants ne sont pas toujours bien pris en compte et identifiés puisqu’ils ne sont présents au sein de l’entreprise que pour une durée généralement limitée…

La vérification des antécédents juridiques des collaborateurs est essentielle pour évaluer le niveau de risque qui pèse sur les données sensibles mises à disposition. Les sous-traitants étant souvent affectés à des tâches très spécialisées, il est par ailleurs indispensable que leur manager dispose d’une visibilité sur leur travail et que les systèmes d’informations offrent un reporting régulier sur l’activité effective. Dans le cas d’un sous-traitant employant différents salariés, il est de mise de réitérer l’évaluation pour chaque nouveau consultant. Il est également important de pouvoir s’appuyer sur des outils de prévention des fuites de données associés à des politiques de sécurité pertinentes. Même s’il reste  difficile d’empêcher les administrateurs informatiques tels qu’Edward Snowden d’utiliser des clés USB, il est possible de définir des règles pour identifier et alerter en cas de téléchargement important de données vers un poste utilisant ce type de dispositif mobile.

Enfin, il va sans dire qu’un contrat est nécessaire pour spécifier les droits et responsabilités du sous-traitant et s’assurer qu’il comprend bien toutes les règles informatiques et les actions disciplinaires induites en cas de piratage de données. Certaines de ces mesures sont spécifiées dans l’ISO 27002 (cf. le chapitre 8 pour la partie ressources humaines, par exemple) et le corpus ISO/IEC 2700x constitue toujours la base des bonnes pratiques auxquelles se référer, bien que chaque entreprise soit susceptible d’avoir des besoins différents.
In fine, la vérification de la sécurité physique reste notamment un critère fondamental pour les organisations utilisant des données hautement confidentielles.

Au final, si une entreprise doit faire face à  un individu aussi déterminé que Snowden dans sa volonté de  détourner des données, il ne sera pas toujours possible de le stopper, et ce quelles que soient les mesures de sécurité techniques et humaines déployées. En revanche, l’objectif de l’entreprise est ici de limiter le périmètre d’attaque par des mesures techniques ou organisationnelles adaptées, éventuellement de le ralentir s’il passait à l’action, mais surtout de documenter les risques acceptés, via une évaluation minutieuse préalable des sous-traitants, complétée par une application stricte des contrôles de sécurité fondés sur des règles partagées.

Reste ensuite à surveiller les signaux faibles…

Autour du même sujet