Les risques de l’externalisation IT pour les détaillants

Le modèle de la franchise à ceci d’unique qu’il échappe à la plupart des meilleures pratiques généralement appliquées par les grandes entreprises. Si les franchises dépendent d’une grande enseigne, la majorité gère ses activités et son budget IT en toute indépendance.

La maison mère peut certes suggérer certaines mesures de sécurité, mais le choix final revient à chaque franchisé.
Une violation de données peut pourtant avoir des répercussions sur toute l’enseigne, car les consommateurs font rarement la distinction entre une franchise et la marque qui la chapeaute. C’est donc la réputation de toute l’enseigne qui est en jeu. Les impacts financiers d’une attaque peuvent aussi rapidement faire péricliter une franchise.

Les franchises sont cependant confrontées à des défis bien spécifiques, notamment budgétaires

Pour réduire leurs coûts d’exploitation, nombreuses sont celles qui confient tout ou partie de leurs opérations de support IT à des fournisseurs tiers. L’externalisation présente des avantages indéniables, de rentabilité notamment. Mais elle peut aussi exposer l’entreprise à d’importantes vulnérabilités, selon les outils ou pratiques du fournisseur. Le rapport « 2013 Global Security Report » de Trustwave révèle que 63 % des cas de violation de données étudiés concernent des entreprises qui sous-traitent une fonction importante du support IT à un tiers. Et les principaux vecteurs de piratage des systèmes ne sont autres que les outils couramment utilisés par les prestataires de services de support IT pour accéder au réseau de leurs clients (RDP, pcAnywhere, VNC, etc.).
Mal informés sur les risques auxquels les exposent ces outils, de nombreux franchisés et autres dirigeants de PME n’interrogent pas leurs fournisseurs sur les méthodes et technologies qu’ils emploient. Ils ignorent ainsi que le partage de codes d’accès par les techniciens est une pratique courante chez les prestataires IT pour éviter d’investir dans plusieurs licences de logiciels. Ces codes sont plus faciles à retrouver pour les pirates, mais ils peuvent aussi être utilisés par d’anciens salariés. Cette approche est d’autant plus risquée que l’externalisation IT est un secteur où le taux de roulement du personnel est particulièrement élevé.

Autre problème de taille : la détection des violations

Selon le rapport « 2014 Trustwave Global Security Report », 71 % des victimes d’une violation de données ne détectent pas elles-mêmes l’attaque. Un cybercriminel est ainsi parvenu à pirater les systèmes d’une franchise de Subway pendant 3 ans avant d’être découvert, en 2011. Cet incident, comme il en existe beaucoup, rappelle l’importance de contrôler et de surveiller fréquemment les systèmes d’accès à distance et d’identifier leurs utilisateurs. De nouvelles solutions permettent aujourd’hui aux entreprises de créer des journaux d’audit et des enregistrements vidéo de toutes les activités de connexion à distance à leur réseau, ainsi que d’instaurer des règles et mesures pour restreindre l’accès aux systèmes de certains groupes d’utilisateurs externes.

Bonnes pratiques

Ce mois-ci encore, un autre cas de piratage de systèmes de point de vente a été signalé chez le fournisseur de POS de plusieurs grandes chaînes de restauration aux Etats Unis, notamment Dairy Queen et TacoTime. Si l’on ignore, pour l’heure, les conséquences de l’incident sur les clients du fournisseur, on sait en revanche que le nombre de cas de violation de données est en constante augmentation depuis l’affaire du Subway, en 2011, et que les entreprises peinent encore à maîtriser ces risques.

Voici quelques mesures à prendre pour s’en prémunir

  • Consolider et centraliser les chemins d’accès à distance.
  • Bloquer l’accès des outils non autorisés. Cela inclut les outils intégrés ou point à point avec port d’écoute sur le système cible, et les outils en ligne d’accès à distance.
  • Exiger des codes d’accès uniques pour chaque technicien, et interdire leur partage.
  • Mettre en place une solution de support à distance avec authentification multifactorielle, comme le préconise la réglementation PCI.
  • Utiliser des outils d’accès à distance qui génèrent des pistes d’audit centralisées.
  • Informer le personnel et les fournisseurs de la mise en place de mesures de surveillance et de contrôle réguliers des accès distants. L’enregistrement systématique de toutes les actions sur le réseau peut dissuader les utilisateurs malveillants.
Les enseignes ont aussi un rôle à jouer dans la sécurité de leurs franchises. Elles peuvent notamment conditionner le rattachement des franchisés au respect des mesures précitées ou, mieux encore, proposer à tous leurs franchisés une solution centralisée d’accès sécurisé à distance, utilisable par leurs prestataires IT. Il serait également intéressant d’interroger directement les franchisés sur la manière dont les enseignes pourraient leur venir en aide.

Infogérance