SANS FRAIS 1 877-777-6412

Faire affaire avec de nouveaux fournisseurs : les risques et les bonnes pratiques

évaluation des fournisseurs

C’est maintenant l’automne. Pour la plupart des entreprises, cette saison est souvent synonyme de démarrage de nouveaux projets. On en profite pour reprendre en main certains dossiers mis de côté pendant les vacances, et on décide de les avancer rapidement pour bien finir l’année.

Or, beaucoup de ces projets impliquent de faire appel à un fournisseur. Une entreprise travaille rarement en vase clos et elle a besoin d’autres organisations ou pigistes pour l’accompagner dans sa croissance.

Faire confiance à des fournisseurs : un défi de taille!

Faire affaire avec un nouveau fournisseur : un risque de plus pour votre entreprise?

Bien sélectionner ses fournisseurs est un enjeu très important, car vous devez faire appel à des personnes de confiance qui vous aideront à faire grandir votre entreprise.

En général, on s’assure de la viabilité financière de ces personnes. On vérifie aussi leurs anciens projets, et si les anciens collaborateurs sont prêts à les référer. Puis, on regarde si on s’entend bien et si on partage les mêmes valeurs.

Cependant, avez-vous déjà pensé à vérifier aussi leur santé d’un point de vue de la sécurité informatique?

Vos fournisseurs représentent un risque conséquent. Ils ont accès à des données et systèmes appartenant à votre entreprise. Dépendamment des projets, une copie de vos renseignements sera peut-être même envoyée dans leurs bureaux de manière temporaire ou permanente. Ils peuvent devenir des canaux privilégiés pour les hackers.

C’est un peu comme si vous installiez une serrure très complexe sur votre porte, mais que vous donniez vos clefs à votre voisin, et que celui-ci les laissait toujours traîner, bien visibles, sur sa table de cuisine. Si une personne malintentionnée apprenait cette faille, votre serrure ne servirait plus à grand-chose.

Les hackers essayent souvent d’attaquer une entreprise en ciblant les fournisseurs. L’exemple le plus connu est évidemment l’histoire de Target.

Souvenez-vous. Entre le 27 novembre 2013 et le 15 décembre 2013, Target s’est fait subtiliser des millions de numéros de carte de crédit et des renseignements personnels sur leur clientèle. Les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation.

Le système de facturation externe de Target auquel le sous-traitant avait accès n’était pas complètement isolé du réseau interne. Les attaquants ont réussi à s’y infiltrer, à voler les données personnelles, et à installer un logiciel malveillant sur quelques terminaux de paiements pour récolter les cartes de crédit.

Par contre, Target aurait pu éviter l’enfer en empêchant ses prestataires d’accéder à des ressources informatiques qui ne sont pas nécessaires pour leur travail. Ils ont également mis en place une série de mesures de sécurité qui permettent de mieux encadrer ce que les fournisseurs externes peuvent et ne peuvent pas faire.

Ainsi, la sécurité des fournisseurs n’est pas un enjeu à prendre à la légère.

L’évaluation de vos fournisseurs en cybersécurité : par où commencer?

On parle ici de toutes sortes de fournisseurs : la pigiste qui s’occupe de vos médias sociaux et de vos infolettres, la compagnie familiale qui effectue l’entretien ménager, la multinationale qui gère vos systèmes informatiques ou votre comptabilité, le fournisseur qui s’occupera bientôt de votre système de mission dans le « cloud »…

Tous ont accès à des informations concernant votre entreprise et peuvent devenir une porte ouverte pour un attaquant.

Or, certains critères peuvent être évalués avant même de faire affaire avec un nouveau prestataire. Cela fait généralement partie du processus de sélection du fournisseur. Autant faut-il savoir poser les bonnes questions.

En voici quelques exemples :

  • Comment gèrent-ils leurs propres informations?
  • Ont-ils l’habitude de gérer des données sensibles?
  • Sensibilisent-ils leurs employés aux risques de cybersécurité?
  • Font-ils des vérifications des antécédents avant d’embaucher de nouveaux employés?
  • Ont-ils une gestion des accès selon la tâche et leur rôle ou tous les employés ont accès aux mêmes données même s’ils n’en ont pas besoin?
  • Comment réagissent-ils lorsqu’ils sont témoins de quelque chose d’anormal? Savent-ils qui prévenir? En serez-vous informé?

Par la suite, le tout pourra être concrétisé à l’intérieur d’un contrat afin de confirmer les engagements du fournisseur en matière de cybersécurité. En cours de contrat, il est également important d’assurer un certain suivi. Par exemple, on peut rédiger des procédures afin de guider les fournisseurs en ce qui concerne les bonnes pratiques en cybersécurité. On peut les classer par leur niveau de criticité et réaliser des audits à intervalle régulier.

Être accompagné pour choisir un nouveau fournisseur en toute sécurité

Nous avons mis en place une formation spécialement destinée aux dirigeants d’entreprise qui veulent faire appel à de nouveaux fournisseurs de Cloud! Communiquez avec nous pour en savoir plus.

Finalement, il y a beaucoup à penser, mais CyberSwat est là pour vous aider. Contactez-nous dès maintenant pour évaluer le niveau de risque qu’apporteraient vos fournisseurs dans tous vos nouveaux projets cette année!

 

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.