Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Sécurité TPRM : comment démontrer votre niveau de sécurité ?

TPRM : comment démontrer votre niveau de sécurité ?

Plus d’une entreprise française sur deux déclare avoir déjà subi une cyberattaque impliquant un fournisseur, selon un récent baromètre dévoilé par le CESIN et OpinionWay. Cela signifie qu’assurer la sécurité de son entreprise ne suffit plus, car une part du risque se situe chez les prestataires, fournisseurs et partenaires.

Le risque induit par les tiers peut cependant être maîtrisé : c’est l’objectif du TPRM et du TPCRM, deux approches qui ont pour but de réduire les risques de sécurité induits par les entreprises tierces. Vos donneurs d’ordre peuvent suivre ces approches et exiger des garanties de sécurité avant d’entamer une collaboration avec votre PME.

Dans cet article, vous découvrirez : 

  • ce que sont le TPRM et le TPCRM,
  • les enjeux de ces approches pour votre PME,
  • les différents types de risques liés aux tiers,
  • les bonnes pratiques pour répondre aux exigences TPRM et TPCRM.
Deux collaborateurs discutant des risques liés aux fournisseurs et des exigences de sécurité dans une démarche TPRM
Il est aujourd’hui essentiel d’intégrer la cybersécurité des tiers dans la relation commerciale et opérationnelle

1. Que sont le TPRM et le TPCRM ?

1.1 Définitions des deux approches :

Le TPRM (Third Party Risk Management) désigne une démarche structurée visant à réduire l’ensemble des risques liés aux tiers, comme : 

  • le risque financier,
  • le risque juridique,
  • le risque opérationnel,
  • le risque de conformité,
  • le risque cyber.

Le TPCRM (Third Party Cyber Risk Management) est une approche uniquement centrée sur la gestion des cyber risques liés aux tiers.

Ces deux approches s’inscrivent dans une démarche continue, tout au long de la collaboration.

1.2 Les enjeux du TPRM et du TPCRM pour les PME

Les approches TPRM et TPCRM sont de plus en plus adoptées par les ETI et les grands groupes. Il en résulte plusieurs défis pour votre entreprise :

  • Un enjeu commercial : votre entreprise doit savoir répondre aux exigences de sécurité des donneurs d’ordre pour ne pas être disqualifiée d’office lors des appels d’offres.
  • Un enjeu d’agilité opérationnelle : le fait de développer une capacité à répondre rapidement aux exigences TPRM ou TPCRM de vos clients permet de réduire les allers retours avec le client.
  • Un enjeu de protection de la relation client : l’objectif est d’éviter qu’un incident subi par votre PME ne devienne un incident pour votre client, avec un impact immédiat sur la relation commerciale.
  • Un enjeu de contrôle pour vos clients : dans le cadre d’une collaboration, vous pouvez disposer d’accès élevés, avec un pouvoir important sur l’entreprise de votre client. Par exemple, une agence web peut disposer des droits d’administration du site web de ses clients. Ceux-ci ont donc besoin de garanties pour prévenir tout incident.
  • Un enjeu juridique : en cas de litige avec un client suite à un incident, le respect des exigences TPRM et TPCRM permet de prouver votre bonne foi sur la base des mesures que vous avez mises en œuvre.
  • Un enjeu de maîtrise des risques liés à vos partenaires : qu’ils soient prestataires ou sous-traitants, des partenaires qui ne respectent pas les standards de sécurité peuvent affecter par rebond l’activité de vos clients.

Pour répondre aux exigences du TPRM et du TPCRM de vos clients, il est important de mettre en place un socle reproductible plutôt que de répondre au cas par cas à chaque demande client.

1.3 Qui sont les tiers concernés par le TPRM ?

En tant que PME, vous êtes considéré comme un tiers par le donneur d’ordre si vous intervenez pour son compte et que, dans le cadre de cette relation, vous accédez à ses systèmes, vous traitez ou hébergez des données qui lui appartiennent, ou vous lui fournissez un service dont il dépend (même partiellement).

Dans le même esprit, toute entité externe qui accède à votre système d’informations, traite vos données, peut impacter la disponibilité de vos services, ou agit en sous-traitance d’une activité critique est considérée comme un tiers pour votre entreprise.

Il existe plusieurs catégories de tiers :

  • Les tiers IT, qui fournissent des produits ou des services informatiques : il peut s’agir d’un infogéreur, d’un prestataire de maintenance, d’un éditeur, d’un hébergeur, d’un fournisseur cloud ou de solutions de cybersécurité, etc.
  • Les tiers “métier” qui traitent des données ou processus sensibles : il peut s’agir d’un comptable, gestionnaire de paie, d’un cabinet juridique, d’une agence marketing, d’un prestataire logistique, ou encore d’un prestataire de gestion de paiement.
  • Les tiers indirects : il s’agit des fournisseurs, des sous-traitants ou des prestataires de vos tiers, autrement dit, des tiers de vos tiers.

2. Quels sont les risques liés aux tiers ?

2.1 Les risques cyber

Dans un contexte marqué par une recrudescence des cyberattaques sur les entreprises françaises, vos clients cherchent des partenaires de confiance, capables de contenir les principaux risques cyber comme :

  • Les attaques par rebond : le cybercriminel cherche à cibler une entreprise en s’attaquant d’abord à l’un de ses tiers. Votre PME peut ainsi être ciblée pour atteindre une entreprise de plus grande taille, si celle-ci est votre donneur d’ordre.
  • Le vol des données de votre donneur d’ordre que vous pouvez traiter ou stocker en tant que tiers.
  • Les attaques de la chaîne d’approvisionnement :  ce mode opératoire consiste à déployer un malware par le biais d’un fournisseur IT afin de cibler ses clients. Par exemple, le cybercriminel peut dissimuler son malware dans une mise à jour applicative qui est ensuite installée par les entreprises qui utilisent la solution du fournisseur.
  • L’indisponibilité des services : si un prestataire IT subit un incident matériel ou cyber, cela peut paralyser l’activité de ses clients. En 2023, la PME Coaxis, hébergeur de données comptables, a été victime d’une cyberattaque : ses 1 500 clients se sont ainsi trouvés dans l’impossibilité d’accéder à leurs données.
  • L’exploitation d’interconnexions : une API, un connecteur, ou un compte mal sécurisé peut devenir un point d’entrée pour aspirer les données de vos clients ou déclencher des actions sur leurs systèmes.
  • Un acte malveillant commis par le tiers : ce scénario est envisagé par les donneurs d’ordre. Que ce soit pour un motif lucratif ou à cause d’une mauvaise relation commerciale, un employé ou un sous-traitant peut abuser d’un accès pour exfiltrer des données ou endommager les systèmes du client.
  • L’erreur de configuration : un mauvais paramétrage de sécurité chez le tiers peut compromettre les données ou les systèmes de son client.
  • La négligence : de mauvaises pratiques de sécurité pratiquées par le tiers comme l’utilisation de mots de passe faibles ou l’absence d’authentification multifacteur constituent des failles facilement exploitables pour les attaquants.
  • L’absence de sauvegarde des données du client peut entraîner une perte irréversible en cas d’incident. Une PME bretonne touchée par un ransomware a ainsi fait condamner son prestataire informatique qui n’avait pas mis en place de sauvegarde déconnectée lors de sa prestation de remplacement des serveurs.

2.2 Les autres types de risques : 

Le TPRM ne se limite pas aux cyber menaces. Il englobe également les risques suivants : 

  • Le risque de non conformité : si le tiers ne respecte pas les réglementations en vigueur, ses clients peuvent à leur tour se trouver en situation de non-conformité.
  • Le risque financier : insolvabilité, fragilité économique du prestataire, hausse brutale des tarifs, coûts cachés… Les donneurs d’ordre souhaitent maîtriser l’ensemble de ces risques.
  • Le risque opérationnel : panne des services, incident de production, qualité de service insuffisante, support défaillant… Ces risques peuvent affecter le bon déroulement des activités des clients.
  • Le risque juridique et contractuel : il peut s’agir de responsabilités trop floues, de clauses déséquilibrées, ou encore d’absence de mécanisme de preuve.
  • Le risque d’absence de réversibilité : lors de la fin de la collaboration, les clients ne doivent pas être confrontés à une difficulté à récupérer leurs données ou être exposés à des coûts de sortie élevés.
  • Le risque de sous-traitance en chaîne : la multiplication d’acteurs non identifiés, peut engendrer une perte de qualité de service, mais aussi une perte de contrôle et une dilution des responsabilités.

2.3 Quelles conséquences en cas d’absence de protection ?

Lorsqu’un tiers ne respecte pas les exigences de sécurité TPRM ou TPCRM, il peut y avoir plusieurs conséquences pour le donneur d’ordre.

Sur le plan opérationnel, son activité peut se retrouver complètement paralysée. Les attaques par rebond ont souvent pour finalité d’introduire un ransomware dans le SI du donneur d’ordre. Celui-ci chiffre les données de l’entreprise pour les prendre en otage, ce qui bloque totalement l’activité. Les cybercriminels font ensuite pression pour exiger une rançon.

Plus globalement, un problème technique ou une cyberattaque peuvent rendre indisponibles certaines applications (messagerie, CRM, système de facturation, logiciel métier, etc.), ce qui impacte le bon fonctionnement de l’entreprise.

Concernant l’aspect financier, l’arrêt de l’activité peut engendrer une perte de chiffre d’affaires ainsi que des coûts liés à la reprise d’activité. Les clients du donneur d’ordre peuvent entamer des démarches juridiques, ce qui engage inévitablement des frais de justice. Dans une situation de non-conformité du tiers, l’entreprise peut également être exposée à des sanctions financières de la part du régulateur.

Ces différentes situations sont susceptibles de dégrader la réputation et l’image de marque du donneur d’ordre. Enfin, il en résulte un conflit direct avec le tiers, qui peut conduire à un renvoi de responsabilité, une procédure juridique… et une immense perte de temps et d’énergie.

3. Comment répondre aux exigences de sécurité des donneurs d’ordre ?

3.1 Les bonnes pratiques pour répondre au TPRM : 

Afin de gagner en efficacité, vous pouvez constituer un dossier de pièces à fournir à vos donneurs d’ordre. Voici quelques bonnes pratiques à suivre pour y parvenir :

  • Prouvez l’existence légale et l’identité de votre entreprise afin de démontrer que vous êtes bien immatriculé et habilité à contracter : cela permet de dissiper les craintes liées aux risques de fraude. Vous pouvez fournir un extrait Kbis, une attestation d’immatriculation au RNE, ou encore un numéro SIRET.
  • Montrez que vous êtes en règle sur le plan fiscal en fournissant une attestation de vigilance ou une attestation de régularité fiscale.
  • Rassurez le donneur d’ordre sur votre solvabilité et votre stabilité financière. Plusieurs documents peuvent aider, à commencer par vos comptes annuels et votre bilan, mais aussi une attestation de solvabilité ou un courrier de cotation.
  • Prouvez que vous êtes assurés pour l’activité vendue en proposant une attestation de responsabilité civile professionnelle. Il existe également des contrats d’assurance cyber qui peuvent rassurer vos clients.
  • Contractualisez précisément le périmètre de votre prestation, ainsi que la liste de vos sous-traitants et leur rôle. L’objectif est de limiter les malentendus avec le donneur d’ordre.
     
  • Attestez votre conformité aux réglementations en vigueur. Par exemple, pour le RGPD, la CNIL indique une liste de documents à fournir pour justifier votre niveau de conformité. Il existe également des organismes de certification agréés pour valider votre niveau de conformité.
  • Si vous êtes un prestataire de services IT, fournissez un plan de continuité d’activité et des engagements de service (SLA). Cela permet d’indiquer à votre donneur d’ordre comment vous maintenez le service en cas d’incident ou d’indisponibilité, sous quels délais vous pouvez le rétablir, etc.

Standardisez ce travail documentaire, afin de pouvoir le fournir facilement à chaque demande.

3.2 7 étapes à suivre pour répondre au TPCRM : 

  1. Cartographiez vos actifs numériques et vos dépendances aux tiers : votre PME doit savoir quelles applications, quels flux, et quels prestataires sont impliqués dans la prestation pour le client.
  2. Classez vos tiers par niveau de criticité afin de prioriser vos efforts en matière de cybersécurité.
  3. Évaluez votre niveau de sécurité : des solutions comme Sekost vous permettent de réaliser un audit rapide pour détecter les vulnérabilités et les menaces auxquelles votre entreprise est exposée, afin d’entreprendre des actions correctives et de réduire votre surface d’attaque.
  4. Adoptez des mesures complémentaires et faciles à mettre en place pour renforcer votre niveau de cybersécurité, comme le chiffrement des données, des mots de passe forts, la mise en place d’un anti-virus et de pare-feux, l’application du principe du moindre privilège pour ne donner à chaque utilisateur ou prestataire que les droits indispensables à sa mission, etc.
  5. Documentez l’ensemble des mesures prises pour constituer un socle de preuves à fournir à vos clients.
  6. Contractualisez votre niveau d’engagement : définissez ce que vous faites, ce que vous ne faites pas, vos délais, vos obligations de notification, et vos limites de responsabilité.
  7. Maintenez votre niveau de sécurité dans le temps une fois que la collaboration avec le donneur d’ordre a démarré. Il convient donc d’installer les correctifs de sécurité disponibles, d’effectuer des audits réguliers, ou encore de mettre fréquemment à jour les accès.

Conclusion

Alors que les attaques liées aux tiers continuent d’augmenter, les approches TPRM et TPCRM vont continuer à se démocratiser dans les années à venir. Répondre à ces exigences va ainsi devenir un levier de compétitivité : les PME qui travailleront demain avec les donneurs d’ordre sont celles qui seront capables de se mettre au niveau attendu en matière de sécurité et de conformité.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit