Risque cyber : évaluez celui induit par vos tiers

Si la transformation digitale des entreprises facilite les échanges d’informations, elle fait également émerger un risque cyber lié aux tiers. En effet, les cybercriminels attaquent les entreprises dans l’optique d’atteindre leurs partenaires d’affaires. Ainsi, dans la gestion du risque tiers, la maîtrise du risque cyber s’avère cruciale. Les conséquences peuvent être très lourdes : 60% des entreprises ayant subi une cyberattaque défaillent dans les 18 mois suivants. Se prémunir du risque tiers dans le B2B, c’est donc aussi s’assurer que ses partenaires commerciaux ne sont pas vulnérables d’un point de vue cyber. Découvrez les facteurs de risques, leurs conséquences pour l’écosystème d’affaires et nos conseils pour maîtriser le risque cyber dans la gestion des risques fournisseurs et risques clients.

Un risque cyber accru face aux failles chez vos tiers

Le risque cyber est défini par le Ministère de l’Économie comme un « risque opérationnel portant sur la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’informations », mais qu’en est-il réellement dans les faits ?

Quels sont les facteurs de risque cyber en entreprise ?

Face à un risque cyber croissant, de nombreux dirigeants ont investi dans des technologies de pointe tels que des antivirus ultra performants. Pourtant, selon IBM, l’erreur humaine est à l’origine de 90% des cyberattaques. Les facteurs de risque liés aux salariés de l’entreprise doivent donc faire l’objet d’une attention particulière : 

• activités financières ou bancaires réalisées à partir d’un ordinateur portable, à distance ;
• utilisation du système d’information à distance ;
• politique de sécurité peu rigoureuse, notamment concernant la protection par mots de passe ;
• manque de sensibilisation et de formation du personnel à la cybersécurité conduisant à des négligences fatales (seules 34% des TPE/PME ont mené ce type d’actions auprès de leurs salariés en 2024 (Baromètre France Num)).

Mener une politique de cyber risk management en interne apparaît donc essentiel, tout comme intégrer une vérification sur les possibles failles de sécurité de vos tiers.  

Chiffres de la Fédération Nationale de l’Information d’Entreprise et de la Gestion des Créances (FIGEC)

Le risque de sécurité informatique a connu une forte accélération depuis la crise du COVID-19. En outre, les entreprises sont désormais les cibles privilégiées des cybercriminels, qui s’engouffrent dans la moindre faille pour atteindre tout l’écosystème de celles-ci par réaction en chaîne. 

De fait : 

• 98 % des organisations sont connectées à un tiers ayant subi une violation de données (SecurityScorecard)
• Plus de la moitié des victimes de violations de données l’ont été via leur sous-traitant (Ponemon Institute) 
• Au cours des 3 dernières années, 73% des organisations ont connu a minima une interruption d’activité importante causée par un tiers (KPMG) 
• Les dommages sont financiers (29% des cas), réputationnels (26%), ou de nature réglementaire (19%) (Venminder)

Et les conséquences peuvent être très lourdes tant financièrement que pour la réputation de la société. 

Les conséquences de la non-maîtrise du risque cyber dans la gestion des risques tiers

La cybermenace évolue constamment en fonction des opportunités repérées, intentions et capacités des cybercriminels. Elle demande donc une vigilance de tous les instants de la part des entreprises. 

10 risques cyber professionnels les plus courants

Pour se prémunir des cyber risques, les professionnels peuvent s’appuyer sur des dispositifs nationaux : Agence nationale de la sécurité des systèmes d’information (ANSSI), sites France Num et Cyber Malveillance du gouvernement, … 

Le site Cybermalveillance.gouv.fr donne ainsi accès au classement des risques cyber auxquels ont été confrontées les entreprises en 2023 : 

• Piratage de compte en ligne (23,5%/+26%)
• Hameçonnage (21,2%/+2%)
• Rançongiciels (16,6%/+8%)
• Faux ordres de virement (10,2% /+63%)
• Violation de données personnelles (8,7%/+38%)
• Attaques en défiguration (5,5% / +61%)
• Attaques en déni de service (4,2%, +61%)
• Piratage informatique (2,4%/+20%)
• Virus (1,9%/+11%)
• Arnaque au faux support technique (1,1% / -11%)

Chaque attaque conduite contre une seule entité a pu déstabiliser un écosystème d’entreprises tout entier. Avec des conséquences parfois graves pour certaines sociétés pourtant bien protégées. 

Quels sont les risques cyber spécifiquement liés aux tiers ?

Avec l’accroissement des échanges et partages numériques entre entreprises, le risque cyber lié au tierces parties s’est démultiplié. Parmi les attaques retentissantes, on peut citer Airbus via un sous-traitant en 2019 puis via Turkish Airlines en 2023, Altran Technologies en 2019 par ransomware, ou encore Signal et Mailchimp via des prestataires et ESN partenaires en 2023.

Les failles numériques de tiers sont génératrices des principaux risques suivants :  

• indisponibilité de services
• impossibilité de payer les prestataires
• espionnage industriel ou économique
• attaque par rebond, c’est-à-dire par le biais de sous-traitants moins bien protégés
• fuite de données confidentielles
• non-conformité aux réglementations générant des amendes très élevées
• défaillance

Ces risques peuvent alors engendrer des difficultés en cascade à plusieurs niveaux. Au risque opérationnel et technologique, s’ajoutent les risques financier, réputationnel, juridique ou encore réglementaire. Les conséquences d’une cyberattaque peuvent aller jusqu’à la défaillance d’une entreprise et de l’un de ses tiers. 

Quelles conséquences une défaillance tierce en cybersécurité peut-elle avoir sur votre entreprise ?

Ainsi, parmi les conséquences relevées chez des entreprises touchées via un tiers, on trouve : 

• Interruption d’activité induisant une perte de revenu
• Coûts liés à la détérioration du matériel informatique et à la récupération de données
• Poursuites pour non-conformité réglementaire

De plus il est très difficile d’identifier ce type de risque et donc de lutter contre le risque cyber, particulièrement lorsqu’il est induit par l’un de ses tiers : manque de temps, difficultés à faire adhérer les tiers, nécessité de les former ou encore faible cyber maturité de certains...

Comment malgré tout se prémunir contre le risque cyber au travers de la gestion des risques tiers ?

Prévenir les cyberattaques liées aux tiers dans le plan de gestion des risques

Intégrer la question de cybersécurité à la gestion du risque tiers devrait aider à identifier et à maîtriser ces risques. 

Comment intégrer les menaces cyber dans la gestion du risque tiers ?

La maitrise des risques cyber dans la gestion du risque tiers passe par des étapes telles que : 

• Identifier, analyser, évaluer les risques potentiels numériques internes
• Lister l’ensemble des tiers auxquels l’entreprise fait appel
• Les hiérarchiser en fonction des risques de sécurité numérique qu’ils font peser sur l’entreprise
• Interroger leurs pratiques informatiques au regard de la réglementation
• Intégrer une formation en sensibilisation à la cyber sécurité dans le processus de gestion des risques liés aux tiers
• Suivre l’évolution du risque tout au long de la relation d’affaires 

L’analyse de données tiers constitue l’un des outils les plus efficaces pour le risk manager. 

En quoi l'analyse des données tiers constitue un rempart essentiel contre les cyberattaques ?

Regrouper toutes les informations nécessaires pour l’analyse des données tiers du point de vue cyber peut être une tâche très chronophage. En effet, pour se prémunir des risques cyber liés au tiers, il convient de mener une surveillance proactive de l’ensemble de ses partenaires commerciaux. 

Une solution telle que le produit Cyber Infolegale permet de mieux maîtriser le risque cyber en l’intégrant à la gestion du risque tiers. Celle-ci permet d’anticiper le risque cyber induit par les tiers en amont, en détectant d’éventuelles anomalies en avance, permettant ainsi d’aider à la prise de décision dans ses relations commerciales.  

Les entreprises les mieux préparées et outillées pourront ainsi maintenir les opérations essentielles et assurer leur pérennité. Elles pourront également plus facilement se conformer aux règlementations, poussées par les nouvelles directives NIS 2 et DORA.